Várias instâncias do conhost.exe

Minha área de trabalho tem duas instâncias de conhost.exeexecução em segundo plano o tempo todo. Alguns pesquisadores publicaram alguns artigos, como este , mas não explicam por que tenho várias instâncias de conhostexecução. Não tenho janelas de console abertas.

Aqui está uma captura de tela do Process Explorer:

Eu sou cauteloso por natureza. Após uma instalação limpa do Windows 7, a primeira coisa que fiz foi ativar o UAC, obter um antivírus, anti-malware e firewall em funcionamento. Não posso excluir um vírus, mas é altamente improvável.

O que está acontecendo aqui? Qual é esse grande número que está sendo passado como argumento conhost?

O Conhost executa serviços de console para janelas de console. É responsável por desenhar a janela do console e gerenciar a entrada / saída no aplicativo do console (normalmente invisível).

Mesmo que você não tenha nenhuma janela de console aberta, é provável que seja apenas uma janela de console em outra área de trabalho ou um processo de zumbi que você está vendo - na operação normal do Windows, o conhost.exe é sempre iniciado no csrss.exe, que é um Processo SYSTEM - e este é o caso na sua imagem, o que sugere que os conhost.exes são genuínos.

Se você está particularmente preocupado com a possibilidade de malware fingir estar conhecido, a melhor coisa a fazer é abrir o Gerenciador de tarefas, navegar até a guia "Processos", clicar com o botão direito do mouse no processo com o qual você está preocupado e selecionar "Abrir arquivo" Localização".

Na janela do explorer que se abre, clique com o botão direito do mouse no aplicativo, clique em "Visualizar propriedades" e procure a guia "Assinaturas digitais". Todos os executáveis ​​da Microsoft terão uma Assinatura digital para verificar se o aplicativo é genuíno e forjar uma Assinatura digital é pelo menos tão difícil quanto descriptografar uma sessão SSL entre você e seu banco, para que você possa ter certeza de que o executável é genuíno.

Em resposta à segunda parte da sua pergunta, o grande número transmitido ao conhost como argumento é um ID de sessão que informa ao conhost.exe qual aplicativo de console ele deve renderizar na tela - essencialmente, é o ID do aplicativo de console ao qual se conectar. Os detalhes precisos do número são específicos para o csrss que intermedia a comunicação entre o aplicativo do console e o conhost.exe.

Eu sei que bater em um tópico antigo não é uma boa prática. Mas cheguei aqui procurando o mesmo problema. E encontrou um motivo e também pode ser uma solução.

No meu caso, havia cerca de uma dúzia de conhost.exe, sob o csrss.exe.

Eu sei que o conhost.exe é para ajudar aplicativos de console, mas, além de uma vez no prompt de comando (cmd.exe), não havia nada em execução.

Encontrei inúmeras possibilidades neste tópico que podem estar relacionadas ao iTunes de 32 bits http://answers.microsoft.com/en-us/windows/forum/windows_7-security/multiple-instances-dozens-of-conhostexe-running / 6e8c045f-8738-4e20-87e2-56d4360f1bd3

Não tenho o iTunes instalado. E, olhando através do TaskManager e do Process Explorer , descobri que havia vários msbuild.exe do VisualStudio 2012. Depois que fechei o VS 2012, tudo foi embora.

devenv.exe e MSBuild.exe são programas de 32 bits

Descobri que meu sistema tinha dois processos que estavam sempre em execução. Percebi que, com o tempo, a execução em minha conta resultaria em um número crescente de outros processos que você conheceu .

Levei algum tempo para procurar a fonte, eliminando suspeitos como AutoHotKey e Console2 . Eventualmente, eu descobri que Visual Studio (2013) foi a criação desses extras conhost processos, e eles desapareceram depois que eu fechei Visual Studio.

Eu deixei os dois processos permanost permanost no meu sistema, pois eles vieram da conta SYSTEM Windows.

Meu computador estava lento com as renovações da guia iexplorer. Decidi verificar o gerenciador de tarefas do Windows e percebi o uso da CPU entre 14 e 15% e alguns dos processos constantemente subindo e descendo. Um deles foi o segundo processo do conhost.exe. Parecia que estava correndo sem parar. O processo conhost.exe, que estava piscando, foi associado à minha identificação de logon. Não foi possível obter o local desse arquivo com o botão direito do mouse e localizar o arquivo.

O processo AVG-Free v14 avgidagent.exe estava monitorando o computador e causando 14 a 15% de uso de recursos da CPU.

Também notei o mgusb.exe piscando. Uma pesquisa na Internet identificou esse processo como parte do mobogenie e sugeriu desinstalá-lo como uma solução para resolver esse problema. Após desinstalar o mobogenie (usando "uninstall" no painel de controle), o segundo conhost.exe e o mgusb.exe foram removidos da janela de processos do gerenciador de tarefas e parece normal.

O uso da CPU voltou ao normal em 0 - 3%. Os processos não se movem constantemente para cima e para baixo.

obrigado pelas pessoas que postaram informações sobre mobogenie na internet.

Meu laptop Win7 possui dois processos conhecidos, que são executados a partir do período de inicialização. Usando o ProcExp, olhando para a janela inferior exibindo Handles, concluí que um era do wlanext.exe e o outro era um dos processos iniciados pelo touchpad Alps. Demorei um pouco para descobrir o que os gerava, eu acabei de adquirir o hábito de matar os processos após a inicialização. Eles não retornam até a próxima inicialização.

Suponho que eles tenham o objetivo de abrir os utilitários da barra de tarefas para o touchpad e a conexão à Internet que removi da inicialização. [O Windows é muito mais confiável para gerenciar a conexão à Internet, enquanto o software opcional que acompanha os drivers da placa de rede freqüentemente causa problemas. E eu geralmente prefiro um mouse, tendo definido o sistema para desativar o touchpad quando o mouse está presente.]