Was ist conhost.exe und warum läuft es?

Sie lesen diesen Artikel zweifellos, weil Sie im Task-Manager auf den Prozess des Konsolenfenster-Hosts (conhost.exe) gestoßen sind und sich fragen, was er ist. Wir haben die Antwort für Sie.

VERBINDUNG: Was ist dieser Prozess und warum läuft er auf meinem PC?

Dieser Artikel ist Teil unserer fortlaufenden Reihe, in der verschiedene im Task-Manager enthaltene Prozesse wie svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe und viele andere erläutert werden. Sie wissen nicht, was diese Dienste sind? Fangen Sie besser an zu lesen!

Was ist der Hostprozess für das Konsolenfenster?

Um den Hostprozess des Konsolenfensters zu verstehen, ist ein wenig Verlauf erforderlich. In den Tagen von Windows XP wurde die Eingabeaufforderung von einem Prozess namens ClientServer Runtime System Service (CSRSS) verwaltet. Wie der Name schon sagt, war CSRSS ein Dienst auf Systemebene. Dies führte zu einigen Problemen. Erstens könnte ein Absturz in CSRSS ein ganzes System zum Absturz bringen, was nicht nur Zuverlässigkeitsprobleme, sondern auch mögliche Sicherheitslücken aufdeckt. Das zweite Problem war, dass CSRSS nicht thematisiert werden konnte, da die Entwickler nicht riskieren wollten, dass Themencode in einem Systemprozess ausgeführt wird. Die Eingabeaufforderung hatte also immer das klassische Aussehen, anstatt neue Oberflächenelemente zu verwenden.

Beachten Sie im folgenden Screenshot von Windows XP, dass die Eingabeaufforderung nicht das gleiche Design wie eine App wie Notepad hat.

VERBINDUNG: Was ist Desktop Window Manager (dwm.exe) und warum läuft es?

Windows Vista hat den Desktop Window Manager eingeführt - einen Dienst, der zusammengesetzte Ansichten von Fenstern auf Ihren Desktop „zeichnet“, anstatt jede einzelne App dies alleine erledigen zu lassen. Die Eingabeaufforderung erhielt dadurch einige oberflächliche Themen (wie der in anderen Fenstern vorhandene Glasrahmen), ging jedoch zu Lasten des Ziehens und Ablegens von Dateien, Text usw. in das Eingabeaufforderungsfenster.

Trotzdem ging dieses Thema nur so weit. Wenn Sie sich die Konsole in Windows Vista ansehen, sieht es so aus, als würde sie dasselbe Thema wie alles andere verwenden, aber Sie werden feststellen, dass die Bildlaufleisten immer noch den alten Stil verwenden. Dies liegt daran, dass der Desktop-Fenstermanager das Zeichnen der Titelleisten und des Rahmens übernimmt, sich jedoch noch ein altmodisches CSRSS-Fenster im Inneren befindet.

Rufen Sie Windows 7 und den Konsolenfenster-Host-Prozess auf. Wie der Name schon sagt, handelt es sich um einen Host-Prozess für das Konsolenfenster. Der Prozess befindet sich in der Mitte zwischen CSRSS und der Eingabeaufforderung (cmd.exe), sodass Windows beide vorherigen Probleme beheben kann. Elemente der Benutzeroberfläche wie Bildlaufleisten werden korrekt gezeichnet, und Sie können sie erneut per Drag & Drop in die Eingabeaufforderung ziehen. Und das ist die Methode, die immer noch in Windows 8 und 10 verwendet wird und die alle neuen Elemente und das neue Design der Benutzeroberfläche zulässt, die seit Windows 7 eingeführt wurden.

Obwohl der Task-Manager den Konsolenfenster-Host als separate Entität darstellt, ist er dennoch eng mit CSRSS verbunden. Wenn Sie den Prozess conhost.exe im Prozess-Explorer auschecken, können Sie sehen, dass er tatsächlich unter dem Prozess csrss.ese ausgeführt wird.

Letztendlich ist der Console Window Host so etwas wie eine Shell, die die Leistung eines Dienstes auf Systemebene wie CSRSS beibehält und gleichzeitig die Möglichkeit bietet, moderne Schnittstellenelemente sicher und zuverlässig zu integrieren.

Warum werden mehrere Instanzen des Prozesses ausgeführt?

Im Task-Manager werden häufig mehrere Instanzen des Konsolenfenster-Host-Prozesses ausgeführt. Jede ausgeführte Instanz der Eingabeaufforderung erzeugt einen eigenen Konsolenfenster-Host-Prozess. Darüber hinaus erzeugen andere Apps, die die Befehlszeile verwenden, ihren eigenen Windows-Hostprozess für die Konsole - auch wenn für sie kein aktives Fenster angezeigt wird. Ein gutes Beispiel hierfür ist die Plex Media Server-App, die als Hintergrund-App ausgeführt wird und über die Befehlszeile anderen Geräten in Ihrem Netzwerk zur Verfügung steht.

Viele Hintergrund-Apps funktionieren auf diese Weise. Daher ist es nicht ungewöhnlich, dass mehrere Instanzen des Console Window Host-Prozesses gleichzeitig ausgeführt werden. Dies ist normales Verhalten. Zum größten Teil sollte jeder Prozess sehr wenig Speicher (normalerweise unter 10 MB) und fast null CPU beanspruchen, es sei denn, der Prozess ist aktiv.

Wenn Sie jedoch feststellen, dass eine bestimmte Instanz von Console Window Host - oder ein zugehöriger Dienst - Probleme verursacht, z. B. eine fortwährende übermäßige CPU- oder RAM-Auslastung, können Sie sich bei den jeweiligen Apps umsehen. Dies könnte Ihnen zumindest eine Vorstellung davon geben, wo Sie mit der Fehlerbehebung beginnen können. Leider bietet der Task-Manager selbst keine guten Informationen dazu. Die gute Nachricht ist, dass Microsoft im Rahmen seiner Sysinternals-Produktpalette ein hervorragendes erweitertes Tool für die Arbeit mit Prozessen bietet. Laden Sie einfach Process Explorer herunter und führen Sie es aus - es ist eine tragbare App, sodass Sie sie nicht installieren müssen. Process Explorer bietet alle Arten von erweiterten Funktionen. Wir empfehlen dringend, unseren Leitfaden zum Verständnis von Process Explorer zu lesen, um weitere Informationen zu erhalten.

VERBINDUNG: Was ist eine "tragbare" App und warum ist sie wichtig?

Der einfachste Weg, diese Prozesse im Prozess-Explorer aufzuspüren, besteht darin, zuerst Strg + F zu drücken, um eine Suche zu starten. Suchen Sie nach "conhost" und klicken Sie sich dann durch die Ergebnisse. Während Sie dies tun, wird das Hauptfenster geändert, um Ihnen die App (oder den Dienst) anzuzeigen, die bzw. der dieser bestimmten Instanz von Console Window Host zugeordnet ist.

Wenn die CPU- oder RAM-Auslastung anzeigt, dass dies die Instanz ist, die Ihnen Probleme bereitet, haben Sie sie zumindest auf eine bestimmte App eingegrenzt.

Könnte dieser Prozess ein Virus sein?

Der Prozess selbst ist eine offizielle Windows-Komponente. Es ist zwar möglich, dass ein Virus den realen Konsolenfenster-Host durch eine eigene ausführbare Datei ersetzt hat, dies ist jedoch unwahrscheinlich. Wenn Sie sicher sein möchten, können Sie den zugrunde liegenden Dateispeicherort des Prozesses überprüfen. Klicken Sie im Task-Manager mit der rechten Maustaste auf einen Service Host-Prozess und wählen Sie die Option "Dateispeicherort öffnen".

Wenn die Datei in Ihrem Windows\System32Ordner gespeichert ist, können Sie ziemlich sicher sein, dass Sie nicht mit einem Virus zu tun haben.

Es gibt tatsächlich einen Trojaner namens Conhost Miner, der sich als Hostprozess für das Konsolenfenster tarnt. Im Task-Manager sieht es genauso aus wie der eigentliche Prozess, aber ein wenig Graben zeigt, dass es tatsächlich im %userprofile%\AppData\Roaming\MicrosoftOrdner und nicht im Windows\System32Ordner gespeichert ist . Der Trojaner wird tatsächlich verwendet, um Ihren PC zu entführen, um Bitcoins abzubauen. Das andere Verhalten, das Sie bei der Installation auf Ihrem System feststellen werden, ist, dass die Speichernutzung höher ist als erwartet und die CPU-Auslastung auf einem sehr hohen Niveau bleibt (häufig oben) 80%).

VERBINDUNG: Was ist das beste Antivirenprogramm für Windows 10? (Ist Windows Defender gut genug?)

Natürlich ist die Verwendung eines guten Virenscanners der beste Weg, um Malware wie den Conhost Miner zu verhindern (und zu entfernen), und das sollten Sie trotzdem tun. Sicher ist sicher!