Несколько экземпляров conhost.exe

20

У моего рабочего стола всегда есть два экземпляра conhost.exeв фоновом режиме. Некоторый гугл поднял несколько статей, таких как эта , но они не объясняют, почему у меня есть несколько экземпляров conhostзапуска. У меня нет открытых окон консоли.

Вот скриншот из Process Explorer:

Скриншот Process Explorer

Я осторожен по натуре. После чистой установки Windows 7 первым делом я включил UAC, включил антивирус, антивирус и брандмауэр. Я не могу исключить вирус, но это крайне маловероятно.

Что здесь происходит? Что это большое число передается в качестве аргумента conhost?

Джордж П. Берделл
источник
2
Некоторые сервисы и их вспомогательные программы являются консольными приложениями, для которых нужны символы.
billc.cn
1
Есть ли способ узнать, какие приложения порождают эти процессы-призраки?
Джордж П. Берделл
Остановка серверов мультимедиа Serviio и Plex и немедленное завершение процессов conhost.exe для меня.
2
Мне нравятся сотни из них.
Кенорб
У меня тоже сотни.
Мосс

Ответы:

17

Conhost запускает консольные службы для консольных окон. Он отвечает за отрисовку окна консоли и за управление вводом / выводом в (обычно невидимое) консольное приложение.

Даже если у вас нет открытых окон консоли, скорее всего, это просто окно консоли на другом рабочем столе или процесс зомби, который вы видите - при нормальной работе Windows conhost.exe всегда запускается из csrss.exe, который является СИСТЕМНЫЙ процесс - и это тот случай, который вы видите на вашей картинке, что говорит о подлинности conhost.exes.

Если вы особенно обеспокоены тем, что это может быть вредоносное ПО, претендующее на то, чтобы быть поддельным, лучше всего открыть диспетчер задач, перейти на вкладку «Процессы», щелкнуть правой кнопкой мыши по процессу, который вас беспокоит, и выбрать «Открыть файл». Место расположения".

В открывшемся окне обозревателя щелкните правой кнопкой мыши приложение, выберите «Просмотр свойств» и найдите вкладку «Цифровые подписи». Все исполняемые файлы Microsoft будут иметь цифровую подпись, подтверждающую, что приложение является подлинным приложением Microsoft, и подделка цифровой подписи, по крайней мере, так же трудна, как и дешифрование сеанса SSL между вами и вашим банком, поэтому вы можете быть уверены, что исполняемый файл является подлинным.

В ответ на вторую часть вашего вопроса большое число, передаваемое в conhost в качестве аргумента, является идентификатором сеанса, который сообщает conhost.exe, какое консольное приложение должно отображаться на экране - по сути, это идентификатор консольного приложения для подключения. Точные данные этого числа относятся к csrss, который обеспечивает связь между консольным приложением и conhost.exe.

SecurityMatt
источник
1
В моем случае conhost.exe работает, даже когда не открываются консольные окна, при запуске системы (то есть, когда он не может быть исключен из процесса оболочки зомби). Кроме того, в проводнике процессов есть не типичная иконка "c: \", а общая иконка. Он находится под csrss.exe, но если я щелкну правой кнопкой мыши и выберу свойства, я попаду в путь: процесс открытия ошибки. Если я нажимаю «проверить», это говорит, что цифровая подпись не найдена в файле. В «пользователь» он говорит «доступ запрещен». Я системный администратор, и я не могу убить его ... любой совет, пожалуйста? Спасибо
JJ_
@jj_, я вижу то же самое. Узнать что-нибудь?
Патрик Салапски
@PatrickSzalapski Я бы хотел помочь, но в основном я не могу вспомнить конкретные шаги, которые я предпринял, чтобы решить проблему, и как они повлияли на нее. Некоторое время я следил за системой, сканировал ее на наличие вирусов / вредоносных программ / троянов с помощью пары инструментов, удалил некоторые ненужные мне вещи, которые, вероятно, поставлялись с некоторыми службами запуска, а затем совершенно забыл об этом .. И вдруг он пропал .. Я могу только посоветовать попробовать загрузить систему с минимально необходимыми службами и посмотреть, что произойдет .. Держите нас в курсе, хотя, это может быть полезно для всех! Приветствия
JJ_
1
Если @jj_ возвращается или кто-то еще приходит: ProcessExplorer должен быть повышен, чтобы отображать полную информацию, такую ​​как командная строка и exe-свойства для системных и служебных процессов (и уничтожать их); начните с ярлыка или пункта меню или результата поиска с помощью rightclick-RunAsAdministrator или окна поиска с control-shift-enter или, когда уже запущено, перейдите в меню «Файл» и нажмите «Показать сведения для всех процессов».
dave_thompson_085
В моем случае, я знал это :), но все же стоит указать на это!
jj_
5

Я знаю, что столкновение со старой нитью не очень хорошая практика. Но я добрался сюда в поисках той же проблемы. И нашел причину, и это также может быть решением.

В моем случае было около дюжины conhost.exe, под csrss.exe.

Я знаю, что conhost.exe предназначен для помощи консольным приложениям, но, за исключением одной командной строки (cmd.exe), у меня ничего не работало.

В этой теме я обнаружил многочисленные возможности, связанные с 32-битным iTunes http://answers.microsoft.com/en-us/windows/forum/windows_7-security/multiple-instances-dozens-of-conhostexe-running / 6e8c045f-8738-4e20-87e2-56d4360f1bd3

У меня не установлено iTunes. Просматривая TaskManager и Process Explorer, я обнаружил, что в VisualStudio 2012 было несколько msbuild.exe. Как только я закрыл VS 2012, все прошло.

devenv.exe и MSBuild.exe являются 32-разрядными программами

Vemman
источник
1

Я обнаружил, что в моей системе всегда были запущены два процесса conhost . Я заметил, что со временем запуск в моей учетной записи приведет к росту числа других процессов- констант .

Мне потребовалось некоторое время, чтобы найти источник, исключив подозреваемых, таких как AutoHotKey и Console2 . В конце концов я обнаружил, что Visual Studio (2013) создавал эти дополнительные процессы conhost , и они исчезли после того, как я закрыл Visual Studio.

Я оставил два постоянных процесса conhost в моей системе в одиночку, поскольку они исходили из учетной записи SYSTEM Windows.

palswim
источник
0

Мой компьютер работал медленно с обновлениями вкладки iexplorer. Я решил проверить диспетчер задач Windows и заметил, что загрузка процессора составляет 14-15%, а некоторые процессы постоянно перемещаются вверх и вниз. Одним из них был второй процесс conhost.exe. Это выглядело так, как будто он бежал снова и снова. Процесс conhost.exe, который включался и выключался, был связан с моим идентификатором входа. Я не мог получить местоположение этого файла с помощью щелчка правой кнопкой мыши и найти файл.

AVG-Free v14 process avgidagent.exe контролировал компьютер и вызывал 14-15% использования ресурсов процессора.

Я также заметил, что mgusb.exe мигает и выключается. Поиск в Интернете определил этот процесс как часть mobogenie и предложил удалить его как решение для решения этой проблемы. После удаления mobogenie (с помощью «удаления» из панели управления) второй conhost.exe и mgusb.exe были удалены из окна процессов диспетчера задач, и это выглядит нормально.

Загрузка ЦП нормализовалась на уровне 0 - 3%. Процессы не постоянно движутся вверх и вниз.

спасибо за людей, которые разместили mobogenie информацию в интернете.

Prescott
источник
0

В моем ноутбуке с Win7 есть два процесса conhost, запущенных во время загрузки. Используя ProcExp, глядя на нижнее окно с ручками, я определил, что один из них был написан на wlanext.exe, а другой - одним из процессов, запущенных сенсорной панелью Alps. Мне потребовалось некоторое время, чтобы выяснить, что их породило, я просто привык убивать процессы после загрузки. Они не возвращаются до следующей загрузки.

Я предполагаю, что они предназначены для открытия утилит панели задач для тачпада и подключения к интернету, которые я удалил при запуске. [Windows намного более надежна для управления интернет-соединением, в то время как дополнительное программное обеспечение, которое поставляется с драйверами сетевой карты, часто вызывает проблемы. И я обычно предпочитаю мышь, настроив систему на отключение сенсорной панели при наличии мыши.]

MJM
источник
Вы ответили на вопрос, которому уже несколько лет, и на который уже есть принятый ответ. Хотя это не запрещено или неправильно с вашей стороны, вы должны знать, что вы вряд ли получите ответ или что ваш ответ будет принят. Что, как говорится; Вы проделали хорошую работу, объясняя свой опыт. Для улучшения целесообразно сделать резервную копию ваших ответов из какого-либо источника, чтобы подтвердить свою точку зрения. Это не обязательно, но это помогает.
CharlieRB