Mehrere Instanzen von conhost.exe

20

Auf meinem Desktop werden conhost.exezu jeder Zeit zwei Instanzen im Hintergrund ausgeführt. Einige googeln brachte ein paar Artikel, wie dieses , aber sie erklären nicht, warum ich mehrere Instanzen conhostausgeführt habe. Ich habe keine offenen Konsolenfenster.

Hier ist ein Screenshot von Process Explorer:

Prozess Explorer Screenshot

Ich bin von Natur aus vorsichtig. Nach einer Neuinstallation von Windows 7 habe ich als Erstes die Benutzerkontensteuerung aktiviert, einen Viren- und Malware-Schutz sowie eine Firewall eingerichtet und ausgeführt. Ich kann einen Virus nicht ausschließen, aber es ist höchst unwahrscheinlich.

Was ist hier los? Wem wird diese große Zahl als Argument übergeben conhost?

windows-7 security conhost George P. Burdell
quelle
2
Einige Dienste und ihre Hilfsprogramme sind Konsolenanwendungen, die Conhosts benötigen.
billc.cn
1
Gibt es eine Möglichkeit herauszufinden, welche Anwendungen diese Conhost-Prozesse auslösen?
George P. Burdell
Stoppen von Serviio und Plex Media Servern und sofortiges Beenden der conhost.exe Prozesse für mich.
2
Ich mag Hunderte von ihnen.
Kenorb
Ich habe auch Hunderte.
Moos

Antworten:

17

Conhost führt Konsolendienste für Konsolenfenster aus. Es ist verantwortlich für das Zeichnen des Konsolenfensters und für die Verwaltung der Ein- / Ausgabe für die (normalerweise unsichtbare) Konsolenanwendung.

Auch wenn Sie kein Konsolenfenster geöffnet haben, handelt es sich wahrscheinlich nur um ein Konsolenfenster auf einem anderen Desktop oder um einen Zombie-Prozess, den Sie gerade sehen. Unter normalen Windows-Bedingungen wird conhost.exe immer über csrss.exe gestartet SYSTEM-Prozess - und dies ist der Fall in Ihrem Bild, was darauf hindeutet, dass die conhost.exes echt sind.

Wenn Sie besonders besorgt sind, dass es sich möglicherweise um Malware handelt, die vorgibt, dass sie sich im Computer befindet, öffnen Sie am besten den Task-Manager, navigieren Sie zur Registerkarte "Prozesse", klicken Sie mit der rechten Maustaste auf den betreffenden Prozess und wählen Sie "Datei öffnen" Ort".

Klicken Sie im angezeigten Explorer-Fenster mit der rechten Maustaste auf die Anwendung, klicken Sie auf "Eigenschaften anzeigen" und suchen Sie nach der Registerkarte "Digitale Signaturen". Alle ausführbaren Dateien von Microsoft verfügen über eine digitale Signatur, die bestätigt, dass es sich bei der Anwendung um eine echte Microsoft-Anwendung handelt. Das Fälschen einer digitalen Signatur ist mindestens so schwer wie das Entschlüsseln einer SSL-Sitzung zwischen Ihnen und Ihrer Bank, sodass Sie sicher sein können, dass die ausführbare Datei echt ist.

Als Antwort auf den zweiten Teil Ihrer Frage ist die große Zahl, die als Argument an conhost übergeben wird, eine Sitzungs-ID, die conhost.exe mitteilt, welche Konsolenanwendung auf dem Bildschirm dargestellt werden soll - im Wesentlichen die Konsolenanwendungs-ID, zu der eine Verbindung hergestellt werden soll. Die genauen Details der Nummer sind spezifisch für csrss, das die Kommunikation zwischen der Konsolenanwendung und conhost.exe vermittelt.

SecurityMatt
quelle
1
In meinem Fall wird conhost.exe auch ausgeführt, wenn beim Systemstart keine Konsolenfenster geöffnet sind (wenn es sich also nicht um eine Auslassung eines Zombie-Shell-Prozesses handelt). Es gibt auch kein typisches "c: \" - Symbol im Prozess-Explorer, sondern ein allgemeines Symbol. Es befindet sich unter csrss.exe, aber wenn ich mit der rechten Maustaste klicke und auf Eigenschaften klicke, erhalte ich den Pfad: Fehler beim Öffnen. Wenn ich auf "Bestätigen" klicke, heißt es, dass keine digitale Signatur in der Datei gefunden wurde. In "user" steht "access denied". Ich bin Systemadministrator und kann es nicht töten. Irgendwelche Ratschläge bitte? Danke
jj_
@jj_, ich sehe das Gleiche. Finde etwas heraus?
Patrick Szalapski
@PatrickSzalapski Ich wünschte, ich könnte helfen, aber im Grunde kann ich mich nicht an die konkreten Schritte erinnern, die ich unternommen habe, um das Problem zu beheben, und wie sie sich darauf ausgewirkt haben. Ich habe das System für einige Zeit überwacht, es mit ein paar Tools auf Viren / Malware / Trojaner gescannt, einige Dinge deinstalliert, die ich nicht brauchte und die wahrscheinlich mit einigen Startdiensten geliefert wurden, und es dann ganz vergessen. Und auf einmal es war weg .. Ich kann nur raten zu versuchen, das System mit kaum benötigten Diensten zu booten und zu sehen, was passiert .. halten Sie uns jedoch auf dem Laufenden, es könnte für alle nützlich sein! Prost
jj_
1
Wenn @jj_ zurückkommt oder jemand anderes mitkommt: ProcessExplorer muss aktiviert sein , um vollständige Informationen wie Kommandozeilen- und Exe-Eigenschaften für System- und Serviceprozesse anzuzeigen (und sie zu beenden ); Beginnen Sie mit der Verknüpfung, dem Menüeintrag oder dem Suchergebnis mit einem Rechtsklick auf RunAsAdministrator oder dem Suchfeld mit gedrückter Strg-Umschalttaste oder wenn Sie bereits das Menü goto File ausführen, und klicken Sie auf Show Details For All Processes (Details für alle Prozesse anzeigen).
Dave_thompson_085
In meinem Fall wusste ich das :), aber es lohnt sich trotzdem, darauf hinzuweisen!
jj_
5

Ich weiß, dass es keine gute Praxis ist, einen alten Faden zu stoßen. Aber ich erreichte hier auf der Suche nach dem gleichen Problem. Und fand einen Grund und es könnte auch eine Lösung sein.

In meinem Fall gab es rund ein Dutzend conhost.exe unter der Datei csrss.exe.

Ich weiß, dass conhost.exe für die Unterstützung von Konsolenanwendungen gedacht ist, aber abgesehen von einer Eingabeaufforderung (cmd.exe) lief nichts.

Ich habe in diesem Thread zahlreiche Möglichkeiten gefunden, die sich auf 32-Bit-iTunes beziehen könnten: http://answers.microsoft.com/en-us/windows/forum/windows_7-security/multiple-instances-dozens-of-conhostexe-running / 6e8c045f-8738-4e20-87e2-56d4360f1bd3

Ich habe kein iTunes installiert. Beim Durchsuchen von TaskManager und Process Explorer stellte ich fest, dass mehrere msbuild.exe von VisualStudio 2012 vorhanden sind. Nachdem ich VS 2012 geschlossen hatte, war alles weg.

devenv.exe und MSBuild.exe sind 32-Bit-Programme

Vemman
quelle
1

Ich stellte fest, dass auf meinem System immer zwei Conhost- Prozesse ausgeführt wurden. Ich habe festgestellt, dass die Ausführung in meinem Konto im Laufe der Zeit zu einer wachsenden Anzahl anderer Conhost- Prozesse führen würde.

Ich habe einige Zeit gebraucht , um nach der Quelle zu suchen und Verdächtige wie AutoHotKey und Console2 zu eliminieren . Schließlich stellte ich fest, dass Visual Studio (2013) diese zusätzlichen Conhost- Prozesse erstellte und sie verschwanden, nachdem ich Visual Studio geschlossen hatte.

Ich habe die beiden permanenten conhost- Prozesse auf meinem System alleine gelassen, da sie vom Windows-Konto SYSTEM stammen .

Kumpelschwimmen
quelle
0

Mein Computer reagierte langsam mit der Erneuerung des IEXPLORER-Tabs. Ich entschied mich, den Windows-Task-Manager zu überprüfen und bemerkte eine CPU-Auslastung von 14 bis 15% und einige der Prozesse bewegten sich ständig auf und ab. Einer davon war ein zweiter Prozess von conhost.exe. Es sah so aus, als würde es hin und her rennen. Der Prozess conhost.exe, der ein- und ausgeschaltet wurde, war mit meiner Anmelde-ID verknüpft. Ich konnte den Speicherort dieser Datei nicht mit einem Rechtsklick ermitteln und die Datei suchen.

AVG-Free v14-Prozess avgidagent.exe überwachte den Computer und verursachte eine CPU-Auslastung von 14-15%.

Ich habe auch bemerkt, dass mgusb.exe ein- und ausgeschaltet ist. Eine Internetsuche identifizierte diesen Prozess als Teil von mobogenie und schlug vor, ihn als Lösung für dieses Problem zu deinstallieren. Nach der Deinstallation von mobogenie (mithilfe von "uninstall" in der Systemsteuerung) wurden sowohl die zweite Datei "conhost.exe" als auch die zweite Datei "mgusb.exe" aus dem Task-Manager-Prozessfenster entfernt. Dies scheint normal zu sein.

Die CPU-Auslastung ist mit 0 - 3% wieder normal. Die Prozesse bewegen sich nicht ständig auf und ab.

danke für die leute, die mobogenie informationen ins internet gestellt haben.

Prescott
quelle
0

Mein Win7-Laptop verfügt über zwei Conhost-Prozesse, die in der Startzeit ausgeführt werden. Mit ProcExp und Blick auf das untere Fenster mit den Handles stellte ich fest, dass einer von wlanext.exe und der andere von dem Alps-Touchpad gestartet wurde. Es dauerte eine Weile, bis ich herausgefunden hatte, was sie hervorgebracht hatte. Ich hatte die Angewohnheit, die Prozesse nach dem Booten zu beenden. Sie kehren erst beim nächsten Start zurück.

Ich gehe davon aus, dass sie dazu dienen, die Taskleistendienstprogramme für das Touchpad und die Internetverbindung zu öffnen, die ich beim Start entfernt habe. [Windows ist für die Verwaltung der Internetverbindung wesentlich zuverlässiger, während die optionale Software, die mit Netzwerkkartentreibern geliefert wird, häufig Probleme verursacht. Und normalerweise bevorzuge ich eine Maus, da das System so eingestellt ist, dass das Touchpad deaktiviert wird, wenn die Maus vorhanden ist.]

mjm
quelle
Sie haben eine Frage beantwortet, die Jahre alt ist und die bereits beantwortet wurde. Dies ist zwar nicht verboten oder falsch von Ihnen, aber Sie sollten sich darüber im Klaren sein, dass Sie wahrscheinlich keine Antwort erhalten oder Ihre Antwort akzeptieren werden. Davon abgesehen; Sie haben Ihre Erfahrungen gut erklärt. Zur Verbesserung ist es ratsam, Ihre Antworten mit einer Quelle zu sichern, um Ihren Standpunkt zu bestätigen. Es ist nicht obligatorisch, aber es hilft.
CharlieRB