Plusieurs instances de conhost.exe

20

Mon bureau a deux instances de conhost.exefonctionnement en arrière-plan à tout moment. Certains googleurs ont soulevé quelques articles, comme celui-ci , mais ils n'expliquent pas pourquoi j'ai plusieurs instances d' conhostexécution. Je n'ai aucune fenêtre de console ouverte.

Voici une capture d'écran de Process Explorer:

Capture d'écran de Process Explorer

Je suis prudent par nature. Après une installation propre de Windows 7, la première chose que j'ai faite a été d'activer l'UAC, de mettre en place un anti-virus, un anti-malware et un pare-feu. Je ne peux pas exclure un virus, mais c'est très peu probable.

Que se passe-t-il ici? À quoi sert ce grand nombre comme argument conhost?

windows-7 security conhost George P. Burdell
la source
2
Certains services et leurs programmes d'assistance sont des applications de console qui nécessitent des conhosts.
billc.cn
1
Existe-t-il un moyen de savoir quelles applications génèrent ces processus conhost?
George P. Burdell
Arrêt des serveurs multimédias Serviio et Plex et arrêt immédiat des processus conhost.exe pour moi.
2
J'en aime des centaines.
kenorb
J'en ai aussi des centaines.
Moss

Réponses:

17

Conhost exécute les services de console pour les fenêtres de console. Il est chargé de dessiner la fenêtre de la console et de gérer les entrées / sorties de l'application console (normalement invisible).

Même si vous n'avez aucune fenêtre de console ouverte, il s'agit probablement d'une fenêtre de console sur un autre bureau ou d'un processus zombie que vous voyez - dans le fonctionnement normal de Windows, conhost.exe est toujours démarré à partir de csrss.exe qui est un Processus SYSTÈME - et c'est le cas dans votre image qui suggère que les conhost.exes sont authentiques.

Si vous êtes particulièrement inquiet que ces logiciels malveillants prétendent être conhost, la meilleure chose à faire est d'ouvrir le Gestionnaire des tâches, accédez à l'onglet "Processus", faites un clic droit sur le processus qui vous inquiète et sélectionnez "Ouvrir le fichier" Emplacement".

Dans la fenêtre de l'explorateur qui s'ouvre, faites un clic droit sur l'application et cliquez sur "Afficher les propriétés" et recherchez un onglet "Signatures numériques". Tous les exécutables Microsoft auront une signature numérique vérifiant que l'application est une application Microsoft authentique, et la création d'une signature numérique est au moins aussi difficile que de décrypter une session SSL entre vous et votre banque, afin que vous puissiez être assuré que l'exécutable est authentique.

En réponse à la deuxième partie de votre question, le grand nombre transmis à conhost comme argument est un ID de session qui indique à conhost.exe à quelle application console il doit s'afficher à l'écran - c'est essentiellement l'ID d'application de console auquel se connecter. Les détails précis du numéro sont spécifiques à csrss qui assure la communication entre l'application console et conhost.exe.

SecurityMatt
la source
1
Dans mon cas, conhost.exe est en cours d'exécution même lorsqu'il n'y a pas de fenêtres de console ouvertes, depuis le démarrage du système (donc quand il ne peut pas être une exclusion d'un processus shell zombie). De plus, il n'a pas d'icône "c: \" typique dans l'explorateur de processus, mais une icône générique. Il se trouve sous csrss.exe mais si je clique avec le bouton droit de la souris et que je clique sur les propriétés, j'obtiens le chemin d'accès: erreur d'ouverture. Si je clique sur "vérifier", il est dit, aucune signature numérique trouvée dans le fichier. Dans "utilisateur", il est indiqué "accès refusé". Je suis administrateur système et je ne peux pas le tuer ... un conseil s'il vous plait? Merci
jj_
@jj_, je vois la même chose. Vous découvrez quelque chose?
Patrick Szalapski
@PatrickSzalapski J'aimerais pouvoir aider, mais en gros je ne me souviens pas des mesures spécifiques que j'ai prises pour résoudre le problème et comment ils l'ont impacté. Je surveillais le système depuis un certain temps, je l'ai analysé pour détecter les virus / programmes malveillants / chevaux de Troie avec quelques outils, j'ai désinstallé des éléments dont je n'avais pas besoin, qui sont probablement venus avec des services de démarrage, puis j'ai complètement oublié. Et tout d'un coup il était parti .. Je ne peux que conseiller d'essayer de démarrer le système avec des services à peine minimum nécessaires et de voir ce qui se passe .. tenez-nous au courant cependant, cela pourrait être utile pour tout le monde! Cheers
jj_
1
Si @jj_ revient ou que quelqu'un d'autre arrive: ProcessExplorer doit être élevé pour afficher des informations complètes comme la ligne de commande et les propriétés d' exe pour les processus système et de service (et les tuer); Commencez par un raccourci ou une entrée de menu ou un résultat de recherche avec le clic droit-RunAsAdministrator ou une zone de recherche avec control-shift-enter ou lorsque vous exécutez déjà goto File menu et cliquez sur Afficher les détails pour tous les processus.
dave_thompson_085
Dans mon cas, je le savais :) mais ça vaut quand même la peine de le signaler!
2015
5

Je sais que cogner un vieux fil n'est pas une bonne pratique. Mais je suis arrivé ici à la recherche du même problème. Et trouvé une raison et ça pourrait aussi être une solution.

Dans mon cas, il y avait environ une douzaine de conhost.exe, sous le csrss.exe.

Je sais que conhost.exe est destiné à aider les applications de console, mais à part une seule invite de commande (cmd.exe), je n'avais rien en cours d'exécution.

J'ai trouvé de nombreuses possibilités dans ce fil qui pourraient être liées à iTunes 32 bits http://answers.microsoft.com/en-us/windows/forum/windows_7-security/multiple-instances-dozens-of-conhostexe-running / 6e8c045f-8738-4e20-87e2-56d4360f1bd3

Je n'ai aucun iTunes installé. Et en parcourant TaskManager et Process Explorer, j'ai découvert qu'il y avait plusieurs msbuild.exe de VisualStudio 2012. Une fois que j'ai fermé VS 2012, tout s'est envolé.

devenv.exe et MSBuild.exe sont des programmes 32 bits

Vemman
la source
1

J'ai constaté que mon système avait deux processus conhost en cours d'exécution à tout moment. J'ai remarqué qu'avec le temps, l'exécution dans mon compte entraînerait un nombre croissant d'autres processus conhost .

Il m'a fallu un certain temps pour rechercher la source, éliminant les suspects comme AutoHotKey et Console2 . Finalement, j'ai découvert que Visual Studio (2013) créait ces processus supplémentaires de conhost , et ils ont disparu après avoir fermé Visual Studio.

J'ai laissé les deux processus conhost permanents sur mon système seuls, car ils provenaient du compte Windows SYSTEM .

palswim
la source
0

Mon ordinateur fonctionnait lentement avec les renouvellements des onglets iexplorer. J'ai décidé de vérifier le gestionnaire de tâches Windows et j'ai remarqué que l'utilisation du processeur était de 14 à 15% et que certains processus montaient et descendaient constamment. L'un d'eux était un deuxième processus de conhost.exe. Il semblait que cela allait et venait. Le processus conhost.exe qui clignotait était associé à mon identifiant de connexion. Je n'ai pas pu obtenir l'emplacement de ce fichier avec un clic droit et localiser le fichier.

Processus AVG-Free v14 avgidagent.exe surveillait l'ordinateur et provoquait une utilisation des ressources CPU de 14 à 15%.

J'ai également remarqué que mgusb.exe clignote. Une recherche sur Internet a identifié ce processus dans le cadre de mobogenie et a suggéré de le désinstaller comme solution pour résoudre ce problème. Après la désinstallation de mobogenie (à l'aide de la «désinstallation» du panneau de configuration), les deuxièmes conhost.exe et mgusb.exe ont été supprimés de la fenêtre des processus du Gestionnaire des tâches et il semble normal.

L'utilisation du CPU est revenue à la normale à 0 - 3%. Les processus ne se déplacent pas constamment de haut en bas.

merci pour les personnes qui ont publié des informations sur la mobogenie sur Internet.

Prescott
la source
0

Mon ordinateur portable Win7 a deux processus conhost exécutés à partir de boottime. En utilisant ProcExp, en regardant la fenêtre inférieure affichant les poignées, j'ai déterminé que l'un provenait de wlanext.exe et que l'autre était l'un des processus démarrés par le pavé tactile Alps. Il m'a fallu un certain temps pour comprendre ce qui les a engendrés, j'ai juste pris l'habitude de tuer les processus après le démarrage. Ils ne reviennent qu'au prochain démarrage.

Je suppose qu'ils sont destinés à ouvrir les utilitaires de la barre des tâches pour le pavé tactile et la connexion Internet que j'ai supprimés du démarrage. [Windows est beaucoup plus fiable pour gérer la connexion Internet, tandis que le logiciel en option fourni avec les pilotes de carte réseau pose souvent des problèmes. Et je préfère généralement une souris, après avoir configuré le système pour désactiver le pavé tactile lorsque la souris est présente.]

mjm
la source
Vous avez répondu à une question qui date d'il y a déjà une réponse acceptée. Bien que cela ne vous soit pas interdit ou mal de le faire, vous devez savoir que vous n'obtiendrez probablement pas de réponse ou que votre réponse soit acceptée. Cela étant dit; vous avez bien expliqué votre expérience. À titre d'amélioration, il est conseillé de sauvegarder vos réponses avec une sorte de source pour valider votre point. Ce n'est pas obligatoire, mais ça aide.
CharlieRB