Categories: Tecnologia

O que é conhost.exe e por que está sendo executado?

Sem dúvida, você está lendo este artigo porque tropeçou no processo do Host da janela do console (conhost.exe) no Gerenciador de tarefas e está se perguntando o que é. Nós temos a resposta para você.

Este artigo faz parte de nossa série contínua que explica vários processos encontrados no Gerenciador de tarefas, como  svchost.exe ,  dwm.exe , ctfmon.exe ,  mDNSResponder.exe , rundll32.exe ,  Adobe_Updater.exe e muitos outros . Não sabe o que são esses serviços? Melhor começar a ler!

Então, qual é o processo de host da janela do console?

Compreender o processo do host da janela do console requer um pouco de história. Na época do Windows XP, o Prompt de Comando era gerenciado por um processo denominado ClientServer Runtime System Service (CSRSS). Como o nome indica, o CSRSS era um serviço de nível de sistema. Isso criou alguns problemas. Primeiro, uma falha no CSRSS pode derrubar um sistema inteiro, o que expõe não apenas problemas de confiabilidade, mas também possíveis vulnerabilidades de segurança. O segundo problema era que o CSRSS não podia ter um tema, porque os desenvolvedores não queriam arriscar que o código do tema fosse executado em um processo do sistema. Portanto, o Prompt de Comando sempre teve a aparência clássica em vez de usar novos elementos de interface.

Observe na captura de tela do Windows XP abaixo que o Prompt de Comando não tem o mesmo estilo de um aplicativo como o Bloco de Notas.

O Windows Vista introduziu o Desktop Window Manager – um serviço que “desenha” visualizações compostas de janelas em sua área de trabalho, em vez de permitir que cada aplicativo individual cuide disso sozinho. O Prompt de Comando ganhou alguns temas superficiais com isso (como a moldura vítrea presente em outras janelas), mas custou a capacidade de arrastar e soltar arquivos, texto e assim por diante na janela do Prompt de Comando.

Ainda assim, esse tema só foi tão longe. Se você der uma olhada no console do Windows Vista, parece que usa o mesmo tema de todo o resto, mas você notará que as barras de rolagem ainda usam o estilo antigo. Isso ocorre porque o Desktop Window Manager lida com o desenho das barras de título e do quadro, mas uma janela CSRSS antiquada ainda permanece dentro.

Entre no Windows 7 e no processo do host da janela do console. Como o nome indica, é um processo host para a janela do console. O processo fica no meio entre o CSRSS e o Prompt de Comando (cmd.exe), permitindo que o Windows corrija os dois problemas anteriores – elementos de interface como barras de rolagem são desenhados corretamente e você pode arrastar e soltar novamente no Prompt de Comando. E esse é o método ainda usado no Windows 8 e 10, permitindo todos os novos elementos de interface e estilos que surgiram desde o Windows 7.

Embora o Gerenciador de tarefas apresente o host da janela do console como uma entidade separada, ele ainda está intimamente associado ao CSRSS. Se você verificar o processo conhost.exe no Process Explorer , poderá ver que ele realmente é executado no processo csrss.ese.

No final das contas, o Console Window Host é algo como um shell que mantém o poder de executar um serviço de nível de sistema como o CSRSS, ao mesmo tempo em que concede com segurança e confiabilidade a capacidade de integrar elementos de interface modernos.

Por que existem várias instâncias do processo em execução?

Freqüentemente, você verá várias instâncias do processo do host da janela do console em execução no Gerenciador de tarefas. Cada instância do Prompt de Comando em execução gerará seu próprio processo de Host da Janela do Console. Além disso, outros aplicativos que usam a linha de comando irão gerar seu próprio processo de Host do Windows do console – mesmo que você não veja uma janela ativa para eles. Um bom exemplo disso é o aplicativo Plex Media Server, que é executado como um aplicativo de segundo plano e usa a linha de comando para se tornar disponível para outros dispositivos em sua rede.

Muitos aplicativos em segundo plano funcionam dessa maneira, portanto, não é incomum ver várias instâncias do processo do Host da janela do console em execução a qualquer momento. Este é um comportamento normal. Na maior parte, cada processo deve ocupar muito pouca memória (geralmente menos de 10 MB) e quase zero de CPU, a menos que o processo esteja ativo.

Dito isso, se você perceber que uma instância específica do Host da janela do console – ou um serviço relacionado – está causando problemas, como uso excessivo contínuo de CPU ou RAM, você pode verificar os aplicativos específicos que estão envolvidos. Isso pode pelo menos dar uma ideia de por onde começar a solução de problemas. Infelizmente, o Gerenciador de Tarefas em si não fornece boas informações sobre isso. A boa notícia é que a Microsoft fornece uma excelente ferramenta avançada para trabalhar com processos como parte de sua linha Sysinternals. Basta baixar o Process Explorer  e executá-lo – é um aplicativo portátil , portanto, não há necessidade de instalá-lo. O Process Explorer fornece todos os tipos de recursos avançados – e é altamente recomendável ler nosso guia para compreender o Process Explorer para saber mais.

A maneira mais fácil de rastrear esses processos no Process Explorer é primeiro pressionar Ctrl + F para iniciar uma pesquisa. Pesquise “conhost” e clique nos resultados. Ao fazer isso, você verá a janela principal mudar para mostrar o aplicativo (ou serviço) associado a essa instância específica do Host da janela do console.

Se o uso de CPU ou RAM indica que esta é a instância que está causando problemas, então pelo menos você o restringiu a um aplicativo específico.

Este processo pode ser um vírus?

O próprio processo é um componente oficial do Windows. Embora seja possível que um vírus tenha substituído o host da janela do console real por um executável próprio, é improvável. Se você quiser ter certeza, pode verificar a localização do arquivo subjacente do processo. No Gerenciador de Tarefas, clique com o botão direito em qualquer processo do Host do Serviço e escolha a opção “Abrir Local do Arquivo”.

Se o arquivo estiver armazenado em sua Windows\System32pasta, você pode ter quase certeza de que não está lidando com um vírus.

Na verdade, existe um cavalo de Tróia chamado Conhost Miner que se mascara como Processo de Host da Janela do Console. No Gerenciador de Tarefas, ele se parece com o processo real, mas uma pequena pesquisa revelará que ele está realmente armazenado na %userprofile%\AppData\Roaming\Microsoftpasta, e não na Windows\System32pasta. O trojan é realmente usado para sequestrar seu PC para extrair Bitcoins, então o outro comportamento que você notará se estiver instalado em seu sistema é que o uso de memória é maior do que você poderia esperar e o uso de CPU se mantém em níveis muito altos (muitas vezes acima 80%).

Obviamente, usar um bom antivírus  é a melhor maneira de prevenir ( e remover ) malware como o Conhost Miner, e é algo que você deveria fazer de qualquer maneira. Melhor prevenir do que remediar!

maisroot

Recent Posts

O novo aplicativo “PC Manager” da Microsoft se parece muito com o CCleaner

Muitos aplicativos de limpeza estão disponíveis para Windows ao longo dos anos, mas hoje em…

1 ano ago

Como reiniciar um PS4

Seu PlayStation 4 está congelado? Seus jogos favoritos continuam travando? Reiniciar seu PS4 pode resolver…

1 ano ago

Veja por que as reticências são tão assustadoras ao enviar mensagens de texto…

A popularidade das mensagens de texto significou aprender uma forma totalmente nova de comunicação. Você…

1 ano ago

O telescópio James Webb acaba de capturar os “Pilares da Criação”

A foto dos "Pilares da Criação" tirada pelo Telescópio Espacial Hubble é uma das fotos…

1 ano ago

Você poderá baixar o Proton Drive mais cedo do que pensa

O Proton Drive saiu de seu estágio beta há algumas semanas, mas o aplicativo real…

1 ano ago

Como aumentar o zoom no Photoshop

Para ver suas fotos mais de perto ou para uma edição precisa , você pode…

1 ano ago