- Remove From My Forums
-
Question
-
Hi!
My DC admin is seeing these messages on his machines. They contain the users I have specified in SCOM for Run as accounts for monitoring.
\??\C:\Windows\system32\conhost.exe 0x4
Can someone please explain what it means? Why the question marks?
Best regards
Rune Haugen-
Edited by
Friday, August 22, 2014 12:04 PM
-
Edited by
Answers
-
conhost.exe is the new host process for console windows. Previously those were handled by csrss.exe which is the “Client Server Runtime Process”, a process running with system-level privileges
For
\??\C:\Windows\system32\conhost.exe 0x4, it’s command line which is running.For more info conhost.exe, you can refer below link
http://www.howtogeek.com/howto/4996/what-is-conhost.exe-and-why-is-it-running/
Please remember, if you see a post that helped you please click «Vote As Helpful» and if it answered your question, please click «Mark As Answer»
Mai Ali | My blog: Technical | Twitter:
Mai Ali-
Marked as answer by
runeha
Tuesday, August 26, 2014 5:55 AM
-
Marked as answer by
conhost.exe — это новый хост-процесс для окон консоли. Ранее они обрабатывались csrss.exe, который является «процессом выполнения клиент-сервером», процессом, выполняющимся с привилегиями системного уровня. Для ?? C: Windows system32 conhost.exe 0x4, это командная строка, которая работает.
Содержание
- 1 Conhost exe — это вирус?
- 2 Что делает Conhost EXE?
- 3 Является ли консольное окно хостом вирусом?
- 4 Как мне избавиться от Conhost EXE?
- 5 Chrome exe — это вирус?
- 6 Можно ли удалить exe файлы?
- 7 Является ли node exe вирусом?
- 8 Что делает Svchost EXE в Windows 10?
- 9 Что такое svchost exe в диспетчере задач?
- 10 Yourphone EXE безопасно?
- 11 Почему процесс простоя системы использует так много ЦП?
- 12 Нужен ли мне оконный менеджер рабочего стола?
- 13 Почему существует так много exe-файлов SvcHost?
- 14 Что такое хост-процесс консоли Windows?
Во-первых, если вы видите, что conhost.exe запущен в Windows Vista или Windows XP, то это наверняка вирус или, по крайней мере, нежелательная программа, потому что эти версии Windows не используют этот файл.
Что делает Conhost EXE?
Файл conhost.exe (Console Windows Host) предоставляется Microsoft и обычно является законным и полностью безопасным. … Одна из его особенностей заключается в том, что он дает вам возможность перетаскивать файлы / папки прямо в командную строку. Если третьим лицам нужен доступ к командной строке, они также могут использовать conhost.exe.
Является ли консольное окно хостом вирусом?
Ответ: нет, conhost.exe — это не вирус. На самом деле это официальный компонент операционной системы Windows. Таким образом, он сам по себе совершенно безвреден.
Как мне избавиться от Conhost EXE?
Руководство ПО ручному удалению Console Window Host Miner (conhost.exe):
- ШАГ 1. Перед тем, как мы начнем, распечатайте инструкции.
- ШАГ 2: Используйте Rkill для завершения подозрительных программ.
- ШАГ 3. Используйте Malwarebytes AntiMalware для поиска вредоносных и нежелательных программ.
- ШАГ 4. Используйте AdwCleaner для удаления рекламного ПО с компьютера.
2 апр. 2017 г.
Chrome exe — это вирус?
Вирус Chrome.exe — это общее название трояна Poweliks. … «Chrome.exe (32 бит)» — это обычный процесс, запускаемый Google Chrome. Этот браузер открывает некоторые из этих процессов в диспетчере задач (чем больше вкладок вы открываете, тем больше выполняется процессов «Chrome.exe (32 бит)»).
Можно ли удалить exe файлы?
5.exe можно безопасно удалить. НЕ УДАЛЯЙТЕ все файлы .exe, иначе это испортит вашу Windows.
Является ли node exe вирусом?
Точно так же на вашем компьютере есть файл .exe, означающий исполняемый файл с именем node.exe. … Некоторые люди предполагают, что этот файл работает на компьютере как вирус, а некоторые говорят, что он защищает операционную систему от других вирусов.
Что делает Svchost EXE в Windows 10?
Узел службы (svchost.exe) — это процесс общей службы, который служит оболочкой для загрузки служб из файлов DLL. Службы организованы в связанные группы узлов, и каждая группа работает в отдельном экземпляре процесса узла службы. Таким образом, проблема в одном экземпляре не влияет на другие экземпляры.
Что такое svchost exe в диспетчере задач?
svchost.exe — это общий служебный процесс, который позволяет многим службам Windows совместно использовать один процесс. … Щелкните правой кнопкой мыши нижнюю панель задач Windows, чтобы выбрать и открыть диспетчер задач. Издатель: Microsoft Windows. svchost.exe — это общие служебные процессы или узел службы.
Yourphone EXE безопасно?
Это приложение Microsoft, поэтому вы можете продолжать работать на своем ПК совершенно безопасно. Однако, если вы хотите отключить его, вы можете. Вы можете вручную остановить процесс yourphone.exe в диспетчере задач Windows или запретить его запуск в фоновом режиме в настройках Windows.
Почему процесс простоя системы использует так много ЦП?
Почему процесс простоя системы требует высокой загрузки ЦП? Обычно высокая загрузка процессора процессом простоя системы не является проблемой. … Высокий процент процессора указывает на то, что большой объем мощности процесса не используется. Если он равен 100, 99 или 98%, вы можете увидеть, что в фоновом режиме ничего не работает, кроме процесса простоя системы.
Нужен ли мне оконный менеджер рабочего стола?
Процесс диспетчера окон рабочего стола (dwm.exe) объединяет отображение окон приложения перед его отображением на экране. Это позволяет Windows добавлять эффекты, такие как прозрачность и живые эскизы панели задач. Этот процесс является важной частью Windows, запуск которой невозможно предотвратить.
Почему существует так много exe-файлов SvcHost?
Это связано с тем, что исполняемый файл Svchost.exe используется для запуска различных системных служб. Каждый экземпляр содержит одну или несколько служб, т. Е. Группу служб. По заявлению Microsoft, такая модель управления услугами позволяет снизить потребление памяти и уменьшить поверхность атаки.
Что такое хост-процесс консоли Windows?
Как следует из названия, это хост-процесс для окна консоли. Процесс находится посередине между CSRSS и командной строкой (cmd.exe), что позволяет Windows исправить обе предыдущие проблемы — элементы интерфейса, такие как полосы прокрутки, отображаются правильно, и вы снова можете перетащить их в командную строку.
command lineconhostwindows
I noticed this when trying to find an answer to this question.
It seems to be exclusively associated with conhost.exe only appearing in the command-line parameters for conhost.exe
Also the parameter seems to be the same (on my computer) for all conhost.exe processes:
\??\C:\WINDOWS\system32\conhost.exe 0x4
My question is what does the \??\ signify? Is that some sort of physical device address?
The only place I’ve seen this before is in this image, which came from this article.
Best Answer
Related Solutions
Windows – Multiple instances of conhost.exe
Conhost runs console services for console windows. It is responsible for drawing the console window and for managing the input/output to the (normally invisible) console application.
Even though you don’t have any console windows open, this is likely just a console window on another desktop or a zombie process that you’re seeing — in normal Windows operation, conhost.exe is always started from csrss.exe which is a SYSTEM process — and this is the case in your picture which suggests that the conhost.exes are genuine.
If you’re particularly worried that these might be malware pretending to be conhost, the best thing to do is to open Task Manager, navigate to the «Processes» tab, right click on the process you’re worried about and select «Open File Location».
In the explorer window that opens up, right click on the application and click «View Properties» and look for a «Digital Signatures» tab. All Microsoft executables will have a Digital Signature verifying that the application is a genuine Microsoft application, and forging a Digital Signature is at least as hard as decrypting an SSL session between you and your bank, so you can rest assured that the executable is genuine.
In answer to the second part of your question, the large number being passed to conhost as an argument is a session ID that tells conhost.exe which console application it should be rendering on the screen — essentially it’s the console application ID to connect to. The precise details of the number are specific to csrss which brokers the communication between the console application and conhost.exe.
Windows – (When) is CONHOST.EXE actually necessary
-
Console applications must be differently handled because under the NT kernel (which underlies all of 2000, XP, Vista, Windows 7, and Windows
they are second-class citizens. In the Unix system architecture, every process at creation time has the standard input, output, and error streams attached to it; terminal IO is implemented in terms of these streams (stdin coming from the keyboard, and stdout/stderr going to the terminal), and extra effort is required on the part of a process which doesn’t wish to make use of those streams or have their file descriptors open. In the Windows NT architecture, which while not a lineal descendant of VMS was developed by more or less the same team, the opposite is true; a newly spawned process by default has no I/O streams connected to it at all, and there is no such concept as a «terminal». Programs which wish to behave in a slightly more Unixy fashion may request (by compile-time declaration) that the system create for them a console window, and input/output streams connected to it; the system will do so, but since Windows, unlike Unix, doesn’t give you terminals for free, a considerable amount of additional effort is required to create one, thus formerly
csrss.exe, and nowconhost.exe.As for the difference between the two, your «Hardly a feature» link explains it quite adequately; in short, it exists to work around a security flaw in the previous iteration of Windows’s highly recondite console API, which allowed for privilege escalation in versions of NT older than Windows 7. (Vista, FYI, does not have
conhost.exe, which is befitting of its status as the Windows Millennium of the NT family.) -
Any program which wants the equivalent of Unix stdin/stdout/stderr needs a console, hence an instance of
conhost.exe. Immigrants from Unix-land, such as Apache, PHP, et al., are going to want these streams, hence the system’s automatic instantiation ofconhost.exefor them, whether they actually display a window or not. In theory, it would be possible to modify the source for e.g. Apache such that it required no terminal, and compile it as a Windows GUI application instead of a console application, so that the system wouldn’t feel the need to spawn it aconhost.exe. Assuming it’s also possible in practice, no one seems to have cared enough to do so. Perhaps you will be the first. -
Killing a given
conhost.exewill almost certainly disable console IO for whatever process is running under that instance. You probably don’t care about that because you’re dealing with server processes that aren’t doing anything interesting on the console IO streams anyway, so there’s probably no reason not to kill theirconhost.exes. If in doubt, kill them off and see if it breaks anything. -
There is no way to prevent Windows from instantiating
conhost.exewhen a program is launched which requests console IO; the only way to do so would be to recompile it so that Windows doesn’t regard it as a console application. However, assuming that killing a given server process’s parentconhost.exedoesn’t impair its functionality in any way you care about, you should be able to kill them all at once by issuingtaskkill /f /im conhost.exein a Run prompt or a console window — preferably the former, since the latter will probably die, and almost certainly cease to work, as soon as its parentconhost.exeinstance is killed. Again, if in doubt, kill them off and see if it breaks anything.
they are second-class citizens. In the Unix system architecture, every process at creation time has the standard input, output, and error streams attached to it; terminal IO is implemented in terms of these streams (stdin coming from the keyboard, and stdout/stderr going to the terminal), and extra effort is required on the part of a process which doesn’t wish to make use of those streams or have their file descriptors open. - VSCode Version: 1.19.2 (same on 1.18)
- OS Version: Windows 10
Steps to Reproduce:
- Use VSCode on Windows and open Task Manager. CPU usage is around 98% all the time.
- Close VSCode and the CPU usage is back to norma
Additional info
I tried to figure out the root cause of this, but not sure. Sometimes I’m using the TSC watch task in the background while developing and it seems to trigger this. But even if I turn that off and do normal stuff, the CPU usage goes sky high again.
When I investigated that issue I found out that I also now are using the super keyword to extend the main class in the code. Either VSC or TS are using a lot of resources on this too, and the CPU goes high again.
If I do normal typing without any use of super the CPU usage is normal. Same if I turn off the watch task.
I can just close VSCode and the CPU usage goes back to normal, but sometimes it doesn’t remember the files I had open before I closed it down when this issue happen.
And I can also add that I also run out of memory a few times when this happen. Forcing me to do a manual reboot of the computer.
I have no good idea’s what’s going on except I may think VSC somehow is duplicating itself? If I have one copy of the program open, it should stand as (1) in the Task Manager. But when the CPU usage go sky high it show 13 instances of the program? And I still have only one copy open.
I was looking at the Task Manager in Wndows now. 13 VSC and 1 Console Window Host is running.
Vinayak
Я заметил это, когда пытался найти ответ на этот вопрос .
Кажется, это связано исключительно с conhost.exeпоявлением в командной строке только параметров дляconhost.exe
Также кажется, что параметр (на моем компьютере) одинаков для всех conhost.exeпроцессов:
\ ?? \ C: \ WINDOWS \ system32 \ conhost.exe 0x4
Мой вопрос: что \??\означает? Это какой-то адрес физического устройства? Единственное место, где я видел это раньше, это изображение, которое пришло из этой статьи .
Связанный вопрос по StackOverflow: [Префиксы пути \ ?? \ и \\? \\ _] (https://stackoverflow.com/a/46019856/577765). Кроме того, документ Microsoft для префиксов «\\. \» И «\\? \»: [Имена файлов, путей и пространств имен] (https://msdn.microsoft.com/en-us/library/aa365247.aspx ).
Solomon Rutzky 5 лет назад
1
1 ответ на вопрос
Scott Rhee
Since I was curious as well, I collected some information; it is the original name of «\DosDevices» and usually used by modules which need to access kernel mode object names. e.g. device drivers, subsystem modules, .. Please note that, «\DosDevices» seems to be a symbolic link to «\??», so «\??» is the real name. It was believed that they tried to minimise the search time with this cryptic name.
This is why you saw that on the driver property. And, conhost.exe is usually invoked by csrss.exe which is also one of those modules which need to use kernel mode names. Please read the references below for further understanding.
References:
- http://msdn.microsoft.com/en-us/library/windows/hardware/ff557762(v=vs.85).aspx
- http://en.wikipedia.org/wiki/Client/Server_Runtime_Subsystem
- http://www.wilderssecurity.com/threads/should-this-have-this-2-s-in-c-windows-system32-csrss-exe.87980/
- http://www.angusrobertson.com.au/books/cd-cracking-uncovered-kris-kaspersky/p/9781931769334
Просто из любопытства, можем ли мы использовать это в реальной команде? Я попытался `dir ‘\ ?? \ C: \» `, который работал, но дал мне неожиданный` Каталог C: \ ?? \ C: Файл не найден`
Vinayak 9 лет назад
0
Винаяк // Я не думаю, что это поддерживается в командной строке. dir «\ ?? C: \» пытается найти папку с именем «?? \ C:» в корне текущего диска, поэтому ошибка имеет смысл для меня. На самом деле некоторые приложения пользовательского режима (обычно связанные с системными устройствами) могут отображать этот формат, но вместо «??» используется символическая ссылка «DosDevices».
Scott Rhee 9 лет назад
1
Похожие вопросы
-
12
Почему папка / winsxs становится такой большой и ее можно уменьшить?
-
2
Повышенные привилегии для запуска приложений в Windows?
-
14
PDF Viewer в Windows
-
-
7
Какие службы Windows можно безопасно отключить?
-
8
Firefox PDF плагин для просмотра PDF в браузере на Windows
-
1
Windows теряет макет экрана
-
1
Есть ли способ предотвратить установку / обновление, чтобы засорять мой жесткий диск загадочными пап…
-
1
Как я могу получить доступ к принтеру Windows Vista из Ubuntu по сети?
-
6
Просмотр журнала в Windows
-
3
Фоновая проблема Windows с двумя экранами