อินสแตนซ์หลายตัวของ conhost.exe

20

เดสก์ท็อปของฉันมีการconhost.exeทำงานในพื้นหลังสองครั้งตลอดเวลา googling บางบทความนำมาเช่นบทความนี้แต่พวกเขาไม่ได้อธิบายว่าทำไมฉันมีหลายครั้งที่conhostทำงาน ฉันไม่มีหน้าต่างคอนโซลเปิดอยู่

นี่คือภาพหน้าจอจาก Process Explorer:

ภาพหน้าจอของ Process Explorer

ฉันระมัดระวังโดยธรรมชาติ หลังจากติดตั้ง Windows 7 เรียบร้อยแล้วสิ่งแรกที่ฉันทำคือเปิด UAC รับโปรแกรมป้องกันไวรัสมัลแวร์และไฟร์วอลล์และเปิดใช้งาน ฉันไม่สามารถออกกฎไวรัส แต่ก็สูงไม่น่า

เกิดอะไรขึ้นที่นี่? จำนวนมากที่ถูกส่งผ่านเป็นข้อโต้แย้งconhostคืออะไร?

windows-7  security  conhost 
George P. Burdell
แหล่งที่มา
2
บริการบางอย่างและโปรแกรมตัวช่วยเป็นแอปพลิเคชั่นคอนโซลที่ต้องการโฮสต์
billc.cn
1
มีวิธีใดที่จะทราบว่าแอปพลิเคชั่นตัวใดที่กำลังวางไข่กระบวนการโฮสต์เหล่านี้หรือไม่?
George P. Burdell
การหยุดเซิร์ฟเวอร์สื่อ Serviio และ Plex และสิ้นสุดกระบวนการ conhost.exe ทันทีสำหรับฉัน
2
ฉันชอบพวกเขาหลายร้อยคน
kenorb
ฉันมีหลายร้อยเช่นกัน
มอส

คำตอบ:

17

Conhost รันบริการคอนโซลสำหรับคอนโซล windows รับผิดชอบในการวาดหน้าต่างคอนโซลและสำหรับการจัดการอินพุต / เอาต์พุตไปยังแอปพลิเคชันคอนโซล (ปกติจะมองไม่เห็น)

แม้ว่าคุณจะไม่ได้เปิดหน้าต่างคอนโซลใด ๆ ก็ตามนี่เป็นเพียงหน้าต่างคอนโซลบนเดสก์ท็อปอื่นหรือกระบวนการซอมบี้ที่คุณเห็น - ในการทำงานปกติของ Windows conhost.exe จะเริ่มต้นจาก csrss.exe ซึ่งเป็น กระบวนการของระบบ - และนี่คือกรณีในรูปภาพของคุณซึ่งแสดงให้เห็นว่า conhost.exes เป็นของแท้

หากคุณกังวลอย่างยิ่งว่าสิ่งเหล่านี้อาจเป็นมัลแวร์ที่ทำตัวเป็นโฮสต์สิ่งที่ดีที่สุดที่ต้องทำคือเปิดตัวจัดการงานนำทางไปที่แท็บ "กระบวนการ" คลิกขวาที่กระบวนการที่คุณกังวลและเลือก "เปิดไฟล์ สถานที่ตั้ง"

ในหน้าต่าง explorer ที่เปิดขึ้นให้คลิกขวาที่แอปพลิเคชันแล้วคลิก "ดูคุณสมบัติ" และมองหาแท็บ "ลายเซ็นดิจิทัล" ไฟล์ประมวลผลทั้งหมดของ Microsoft จะมีลายเซ็นดิจิทัลเพื่อตรวจสอบว่าแอปพลิเคชันเป็นแอปพลิเคชัน Microsoft ของแท้และการปลอมแปลงลายเซ็นดิจิทัลนั้นทำได้ยากอย่างน้อยเท่ากับการถอดรหัสเซสชัน SSL ระหว่างคุณกับธนาคารของคุณ

ในการตอบคำถามที่สองของคุณคำถามจำนวนมากที่ถูกส่งผ่านไปยัง conhost เป็นอาร์กิวเมนต์คือ ID เซสชันที่บอก conhost.exe ว่าแอปพลิเคชันคอนโซลใดที่ควรแสดงผลบนหน้าจอ รายละเอียดที่แม่นยำของจำนวนเฉพาะ csrss ซึ่งโบรกเกอร์การสื่อสารระหว่างโปรแกรมประยุกต์คอนโซลและ conhost.exe

SecurityMatt
แหล่งที่มา
1
ในกรณีของฉัน conhost.exe กำลังทำงานแม้ในขณะที่ไม่มีคอนโซล windows เปิดจากการเริ่มต้นระบบ (ดังนั้นเมื่อมันไม่สามารถเป็นซ้ายจากกระบวนการ zombie shell) นอกจากนี้ยังไม่มีไอคอน "c: \" ในตัวสำรวจกระบวนการ แต่เป็นไอคอนทั่วไป มันอยู่ภายใต้ csrss.exe แต่ถ้าฉันคลิกขวาและคลิกคุณสมบัติที่ฉันได้รับในเส้นทาง: กระบวนการเปิดข้อผิดพลาด หากฉันคลิกที่ "ยืนยัน" มันแจ้งว่าไม่พบลายเซ็นดิจิทัลในไฟล์ ใน "ผู้ใช้" ระบุว่า "การเข้าถึงถูกปฏิเสธ" ฉันเป็นผู้ดูแลระบบและฉันไม่สามารถฆ่าได้ ... ขอคำแนะนำใด ๆ ? ขอบคุณ
jj_
@jj_ ฉันเห็นสิ่งเดียวกัน ค้นหาอะไร
แพทริค Szalapski
@PatrickSzalapski ฉันหวังว่าฉันสามารถช่วย แต่โดยทั่วไปฉันไม่สามารถจำขั้นตอนเฉพาะที่ฉันใช้เพื่อแก้ไขปัญหาและวิธีที่พวกเขาส่งผลกระทบต่อมัน ฉันกำลังตรวจสอบระบบอยู่ครู่หนึ่งสแกนหาไวรัส / มัลแวร์ / โทรจันด้วยเครื่องมือสองอันถอนการติดตั้งบางสิ่งที่ฉันไม่ต้องการซึ่งอาจมาพร้อมกับบริการเริ่มต้นบางส่วนจากนั้นก็ลืมไปเลย .. และในทันที มันหายไป .. ฉันสามารถแนะนำให้ลองบูทระบบด้วยบริการขั้นต่ำที่แทบจะไม่จำเป็นเท่านั้นและดูว่าเกิดอะไรขึ้น .. ให้เราโพสต์ต่อไปแม้ว่ามันอาจจะมีประโยชน์สำหรับทุกคน! ไชโย
jj_
1
หาก @jj_ กลับมาหรือใครก็ตามที่เข้ามา: ProcessExplorer ต้องได้รับการยกระดับเพื่อแสดงข้อมูลแบบเต็มเช่น commandline และคุณสมบัติ exe สำหรับกระบวนการของระบบและบริการ (และฆ่าพวกเขา); เริ่มต้นจากทางลัดหรือรายการเมนูหรือผลการค้นหาด้วยคลิกขวา -AdAsAdministrator หรือช่องค้นหาที่มี control-shift-enter หรือเมื่อเรียกใช้เมนูไฟล์ goto แล้วคลิกแสดงรายละเอียดสำหรับกระบวนการทั้งหมด
dave_thompson_085
ในกรณีของฉันฉันรู้ว่า :) แต่ก็ยังคุ้มค่าที่จะชี้ให้เห็น!
jj_
5

ฉันรู้ว่าการกระแทกเธรดเก่าไม่ใช่วิธีปฏิบัติที่ดี แต่ฉันมาถึงที่นี่เพื่อค้นหาปัญหาเดียวกัน และพบเหตุผลและมันก็อาจจะเป็นทางออก

ในกรณีของฉันมี conhost.exe ประมาณโหลภายใต้ csrss.exe

ฉันรู้ว่า conhost.exe มีไว้สำหรับช่วยเหลือแอปพลิเคชั่นคอนโซล แต่นอกเหนือจาก Command Prompt (cmd.exe) ครั้งเดียวฉันไม่มีอะไรทำงาน

ฉันพบความเป็นไปได้มากมายในชุดข้อความนี้ที่อาจเกี่ยวข้องกับiTunes 32 บิต http://answers.microsoft.com/en-us/windows/forum/windows_7-security/multiple-instances-dozens-of-conhostexe-running / 6e8c045f-8738-4e20-87e2-56d4360f1bd3

ฉันไม่มี iTunes ติดตั้ง และเมื่อมองผ่านTaskManagerและProcess Explorerฉันพบว่ามี msbuild.exe หลาย VisualStudio 2012 เมื่อฉันปิด VS 2012 มันก็หายไปหมด

devenv.exe และ MSBuild.exe เป็นโปรแกรม 32 บิต

Vemman
แหล่งที่มา
1

ฉันพบว่าระบบของฉันมีสองกระบวนการโฮสต์ที่ทำงานอยู่ตลอดเวลา ฉันสังเกตเห็นว่าเมื่อเวลาผ่านไปการทำงานในบัญชีของฉันจะส่งผลให้กระบวนการโฮสต์อื่น ๆ มีจำนวนเพิ่มขึ้น

มันเอาฉันบางเวลาเพื่อค้นหาแหล่งที่มาของการขจัดผู้ต้องสงสัยเช่นAutoHotKeyและConsole2 ในที่สุดฉันพบว่า Visual Studio (2013) กำลังสร้างกระบวนการโฮสต์พิเศษเหล่านี้และพวกเขาก็หายไปหลังจากฉันปิด Visual Studio

ฉันออกจากกระบวนการโฮสต์แบบถาวรสองระบบบนระบบของฉันเพียงอย่างเดียวเนื่องจากมันมาจากบัญชีSYSTEM Windows

palswim
แหล่งที่มา
0

คอมพิวเตอร์ของฉันทำงานช้าด้วยการต่ออายุแท็บ iexplorer ฉันตัดสินใจที่จะตรวจสอบตัวจัดการงานของ windows และสังเกตการใช้งาน CPU ที่ 14-15% และกระบวนการบางอย่างก็เลื่อนขึ้นและลง หนึ่งในนั้นคือกระบวนการที่สองของ conhost.exe มันดูเหมือนว่ามันกำลังวิ่งไปมา กระบวนการ conhost.exe ซึ่งกระพริบเปิดและปิดมีความเกี่ยวข้องกับ ID เข้าสู่ระบบของฉัน ฉันไม่สามารถรับตำแหน่งของไฟล์นี้ด้วยการคลิกขวาและค้นหาไฟล์

กระบวนการ v14 ที่ปราศจาก AVG avgidagent.exe ตรวจสอบคอมพิวเตอร์และทำให้เกิดการใช้ทรัพยากร CPU 14-15%

ฉันยังสังเกตเห็น mgusb.exe กะพริบเปิดและปิด การค้นหาทางอินเทอร์เน็ตระบุว่ากระบวนการนี้เป็นส่วนหนึ่งของ mobogenie และแนะนำให้ถอนการติดตั้งเป็นวิธีแก้ปัญหานี้ หลังจากถอนการติดตั้ง mobogenie (โดยใช้ "ถอนการติดตั้ง" จากแผงควบคุม) ทั้ง conhost.exe ที่สองและ mgusb.exe ถูกลบออกจากหน้าต่างกระบวนการตัวจัดการงานและดูเหมือนว่าจะเป็นปกติ

การใช้ CPU กลับสู่ปกติที่ 0 - 3% กระบวนการไม่ได้เลื่อนขึ้นและลงอย่างต่อเนื่อง

ขอบคุณสำหรับคนที่โพสต์ข้อมูล mobogenie บนอินเทอร์เน็ต

เพรสคอตต์
แหล่งที่มา
0

แล็ปท็อป Win7 ของฉันมีสองกระบวนการโฮสต์ที่ทำงานจากเวลาบูต เมื่อใช้ ProcExp มองที่หน้าต่างด้านล่างแสดงที่จับผมเห็นว่าอันหนึ่งมาจาก wlanext.exe และอีกอันเป็นหนึ่งในกระบวนการที่เริ่มต้นโดย Alps touchpad ฉันใช้เวลาสักครู่เพื่อคิดออกว่าเกิดอะไรขึ้นฉันเพิ่งมีนิสัยฆ่ากระบวนการหลังจากบูท พวกเขาจะไม่กลับมาจนกว่าจะบูตครั้งต่อไป

ฉันคิดว่าพวกเขามีวัตถุประสงค์เพื่อเปิดยูทิลิตี้แถบงานสำหรับทัชแพดและการเชื่อมต่ออินเทอร์เน็ตที่ฉันลบออกจากการเริ่มต้น [Windows มีความน่าเชื่อถือมากกว่าสำหรับการจัดการการเชื่อมต่ออินเทอร์เน็ตในขณะที่ซอฟต์แวร์เสริมที่มาพร้อมกับไดรเวอร์การ์ดเครือข่ายมักทำให้เกิดปัญหา และฉันมักจะชอบเมาส์โดยตั้งค่าระบบให้ปิดการใช้งานทัชแพดเมื่อมีเมาส์]

MJM
แหล่งที่มา
คุณได้ตอบคำถามที่มีอายุปีแล้วและมีคำตอบที่ยอมรับแล้ว แม้ว่าสิ่งนี้จะไม่ถูกห้ามหรือทำผิดคุณควรตระหนักว่าคุณไม่น่าจะได้รับคำตอบหรือยอมรับคำตอบของคุณ ที่ถูกกล่าว; คุณทำได้ดีมากในการอธิบายประสบการณ์ของคุณ โดยวิธีการปรับปรุงขอแนะนำให้สำรองข้อมูลคำตอบของคุณด้วยแหล่งข้อมูลบางประเภทเพื่อตรวจสอบประเด็นของคุณ มันไม่ได้บังคับ แต่มันช่วยได้
CharlieRB
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.