Console windows host что это

You are no doubt reading this article because you are wondering what on earth this conhost.exe process is doing in Task Manager, and why it’s running

You are no doubt reading this article because you’ve stumbled across the Console Window Host (conhost.exe) process in Task Manager and are wondering what it is. We’ve got the answer for you.

This article is part of our ongoing series explaining various processes found in Task Manager, like svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, and many others. Don’t know what those services are? Better start reading!

So What Is conhost.exe, the Console Window Host Process?

Understanding the Console Window Host process requires a little bit of history. In the Windows XP days, the Command Prompt was handled by a process named the ClientServer Runtime System Service (CSRSS). As the name implies, CSRSS was a system level service. This created a couple of problems. First, a crash in CSRSS could bring down a whole system, which exposed not just reliability issues, but possible security vulnerabilities as well. The second problem was that CSRSS could not be themed, because the developers didn’t want to risk theme code to run in a system process. So, the Command Prompt always had the classic look rather than using new interface elements.

Notice in the screenshot of Windows XP below that the Command Prompt doesn’t get the same styling as an app like Notepad.

Windows Vista introduced the Desktop Window Manager—a service that «draws» composite views of windows onto your desktop rather than letting each individual app handle that on its own. The Command Prompt gained some superficial theming from this (like the glassy frame present in other windows), but it came at the expense of being able to drag and drop files, text, and so on into the Command Prompt window.

Still, that theming only went so far. If you take a look at the console in Windows Vista, it looks like it uses the same theme as everything else, but you’ll notice that the scrollbars are still using the old style. This is because the Desktop Window Manager handles drawing the title bars and frame, but an old-fashioned CSRSS window still sits inside.

Enter Windows 7 and the Console Window Host process. As the name implies, its a host process for the console window. The process sort of sits in the middle between CSRSS and the Command Prompt (cmd.exe), allowing Windows to fix both of the previous issues—interface elements like scrollbars draw correctly, and you can again drag and drop into the Command Prompt. And that’s the method still used in Windows 8 and 10, allowing all the new interface elements and styling that have come along since Windows 7.

Even though the Task Manager presents the Console Window Host as a separate entity, it’s still closely associated with CSRSS. If you check the conhost.exe process out in Process Explorer, you can see that it actually runs under the csrss.ese process.

In the end, the Console Window Host is something like a shell that maintains the power of running a system-level service like CSRSS, while still securely and reliably granting the ability to integrate modern interface elements.

Why Are There Several Instances of the Console Window Host Process Running?

You’ll often see several instances of the Console Window Host process running in Task Manager. Each instance of Command Prompt running will spawn its own Console Window Host process. In addition, other apps that make use of the command line will spawn their own Console Windows Host process—even if you don’t see an active window for them. A good example of this is the Plex Media Server app, which runs as a background app and uses the command line to make itself available to other devices on your network.

Many background apps work this way, so it’s not uncommon to see multiple instances of the Console Window Host process running at any given time. This is normal behavior. For the most part, each process should take up very little memory (usually under 10 MB) and almost zero CPU unless the process is active.

Why Is Conhost.exe Using So Much CPU and Disk?

If you notice that a particular instance of Console Window Host—or a related service—is causing trouble, like continual excessive CPU or RAM usage, you could check into the specific apps that are involved. That might at least give you an idea of where to start troubleshooting. Unfortunately, Task Manager itself doesn’t provide good information about this.

The good news is that Microsoft  provides an excellent advanced tool for working with processes as part of its Sysinternals lineup. Just download Process Explorer and run it—it’s a portable app, so no need to install it. Process Explorer provides all kinds of advanced features—and we highly recommend reading our guide to understanding Process Explorer to learn more.

The easiest way to track these processes down in Process Explorer is to first hit Ctrl+F to start a search. Search for «conhost» and then click through the results. As you do, you’ll see the main window change to show you the app (or service) associated with that particular instance of Console Window Host.

If the CPU or RAM usage indicates that this is the instance causing you trouble, then at least you’ve got it narrowed down to a particular app.

Could the Conhost.exe Process Be a Virus?

The process itself is an official Windows component. While it’s possible that a virus has replaced the real Console Window Host with an executable of its own, it’s unlikely. If you’d like to be sure, you can check out the underlying file location of the process. In Task Manager, right-click any Console Window Host process and choose the «Open File Location» option.

If the file is stored in your

 Windows\System32 

folder, then you can be fairly certain you are not dealing with a virus.

There is, in fact, a trojan out there named Conhost Miner that masquerades as the Console Window Host Process. In Task Manager, it appears just like the real process, but a little digging will reveal that it’s actually stored in the

 %userprofile%\AppData\Roaming\Microsoft 

folder rather than the

 Windows\System32 

folder. The trojan is actually used to hijack your PC to mine Bitcoins, so the other behavior you’ll notice if it’s installed on your system is that the memory usage is higher than you might expect and the CPU usage maintains at very high levels (often above 80%).

Of course, using a good virus scanner is the best way to prevent (and remove) malware like the Conhost Miner, and it’s something you should be doing anyway. Better safe than sorry!

Вы, несомненно, читаете эту статью, потому что наткнулись на процесс Console Window Host (conhost.exe) в диспетчере задач и задаетесь вопросом, что это такое. У меня есть ответ для вас.

Эта статья является частью серии, объясняющей различные процессы, обнаруженные в диспетчере задач, такие как MOM.exe , svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe и многие другие. Не знаете, что это такое? Начните читать !

Итак, что такое процесс conhost.exe?

Понимание процесса Console Window Host требует немного истории. В дни Windows XP командная строка обрабатывалась процессом с именем ClientServer Runtime System Service (CSRSS). Как следует из названия, CSRSS был сервисом на системном уровне. Это создало пару проблем. Во-первых, сбой в CSRSS мог привести к сбою всей системы, которая выявила не только проблемы с безопасностью, но и возможные уязвимости безопасности. Вторая проблема заключалась в том, что CSRSS не может быть тематическим, потому что разработчики не хотели подвергать риску программный код для запуска в системном процессе. Таким образом, командная строка всегда имела классический вид, и не использовала новые элементы интерфейса.

Обратите внимание на скриншот Windows XP ниже, командная строка не получает тот же стиль, что и приложения, например, «Блокнот».

Windows Vista представила Desktop Window Manager — службу, которая «рисует» составные виды окон на вашем рабочем столе, вместо того чтобы позволить каждому отдельному приложению использовать их самостоятельно. Командная строка получила некоторые поверхностные темы (например, стеклянную рамку, присутствующую в других окнах), но это произошло за счет возможности перетаскивания файлов, текста и т. д. в окно командной строки.

Тем не менее, эта тематика не зашла так далеко. Если вы посмотрите на консоль в Windows Vista, похоже, что она использует ту же тему, что и все остальные, но вы заметите, что полосы прокрутки по-прежнему используют старый стиль. Это связано с тем, что диспетчер окон рабочего стола обрабатывает чертежи и рамки заголовков, но старое окно CSRSS все еще находится внутри.

Войдите в Windows 7 и Console Window Host process. Как видно из названия, это хост-процесс для окна консоли. Сорт процесса находится посередине между CSRSS и командной строкой (cmd.exe), позволяя Windows исправить обе предыдущие проблемы — элементы интерфейса, такие как полосы прокрутки, рисуются правильно, и вы можете снова перетащить их в командную строку. И это метод, который все еще используется в Windows 8 и 10, что позволяет использовать все новые элементы интерфейса и стили, которые появились с Windows 7.

Несмотря на то, что диспетчер задач представляет Console Window Host как отдельный объект, он все еще тесно связан с CSRSS. Если вы проверите процесс conhost.exe в Process Explorer , вы увидите, что он действительно работает под процессом csrss.ese.

В конце концов, Console Window Host является чем-то вроде оболочки, которая поддерживает возможность запуска службы на системном уровне, такой как CSRSS, но при этом предоставляет возможность интеграции современных элементов интерфейса.

Почему существует несколько экземпляров процесса?

Вы часто увидите несколько экземпляров процесса Console Window Host, запущенных в диспетчере задач. Каждый экземпляр командной строки запускает свой собственный процесс Console Window. Кроме того, в других приложениях, использующих командную строку, будет создан собственный процесс Console Window, даже если вы не увидите для них активного окна. Хорошим примером этого является приложение Plex Media Server, которое работает как фоновое приложение и использует командную строку, чтобы сделать ее доступной для других устройств в вашей сети.

Многие фоновые приложения работают таким образом, поэтому нет ничего необычного в том, что несколько экземпляров процесса Console Window работают в любой момент времени. Это нормальное поведение. По большей части каждый процесс должен занимать очень мало памяти (обычно менее 10 МБ) и почти нулевой ЦП, если процесс не активен.

Тем не менее, если вы заметили, что конкретный экземпляр Console Window Host или связанная с ним служба вызывает проблемы, такие как постоянное чрезмерное использование ЦП или ОЗУ, вы можете проверить конкретные приложения, которые задействованы. Это может по крайней мере дать вам представление о том, где начать поиск и устранение неисправностей. К сожалению, сам диспетчер задач не предоставляет хорошую информацию об этом. Хорошей новостью является то, что Microsoft предоставляет отличный передовой инструмент для работы с процессами в составе линейки Sysinternals. Просто загрузите Process Explorer и запустите его — это портативное приложение, поэтому нет необходимости его устанавливать. Process Explorer предоставляет всевозможные расширенные функции — и я настоятельно рекомендую прочитать руководство по пониманию Process Explorer, чтобы узнать больше.

Самый простой способ отслеживать эти процессы в Process Explorer — сначала нажать Ctrl + F, чтобы начать поиск. Найдите «conhost», а затем щелкните результаты. Когда вы это сделаете, вы увидите изменение основного окна, которое покажет вам приложение (или службу), связанное с этим конкретным экземпляром Console Window Host.

Если чрезмерное использование ЦП или ОЗУ, вызывает у вас беспокойство, по крайней мере, вы сузите поиск к определенному приложению.

Может ли этот процесс быть вирусом?

Сам процесс является официальным компонентом Windows. Хотя возможность, что вирус заменил реальный Console Window Host собственным исполняемым файлом, маловероятно. Если вы хотите быть уверенным, вы можете проверить базовое расположение файла процесса. В диспетчере задач щелкните правой кнопкой мыши на процессе и выберите опцию «Открыть расположение файла».

Если файл хранится в вашей папке WindowsSystem32, вы можете быть уверены, что не имеете дело с вирусом.

На самом деле есть троян, называемый Conhost Miner, который маскируется как процесс Console Window Host. В диспетчере задач он выглядит так же, как и реальный процесс, но место расположения покажет, что он хранится в %userprofile%AppDataRoamingMicrosoft а не в папке WindowsSystem32. Троян действительно используется для захвата вашего компьютера, поэтому необычное поведение, которое вы можете заметить, заключается в использовании памяти выше, чем вы могли ожидать, а использование ЦП поддерживается на очень высоких уровнях (часто выше 80%).

Конечно, использование хорошего антивирусного сканера — лучший способ предотвратить (и удалить) вредоносное ПО, например, Conhost Miner, и это то, что вы должны делать в любом случае. Береженого Бог бережет!

Всем привет ребята. Дело у нас о такой штуке как Console Window Host (conhost.exe), я постараюсь узнать что это и напишу вам тут понятным языком. Ну то, что это системный процесс, это я думаю и так понятно. Получается что процесс Console Window Host занимается тем, что обрабатывает консольные окна в винде. Это относится к современным виндам, ну то есть Windows 7, Windows 10.. Короче ребята, это системная штука…

И тут такой вопрос в голове… в чем прикол тогда? А я думаю, что я знаю в чем. Процессов Console Window Host может быть несколько, и это не совсем нормально. Также этот процесс может грузить ПК, что как бэ тоже не есть норма.

Минутку внимания! Ребята, скажу сразу, причины, из-за которых могут быть проблемы с Console Window Host (conhost.exe), то этих причин очень много. И я не могу их знать всех, здесь я написал свои мысли и не более. Чаще всего это какие-то глюки в винде или оставшиеся косяки от установки какой-то проги. Ну или это просто проделки вируса. Вирус может спокойно делать свои коварные дела при помощи командной строки, то есть даже если процессы cmd.exe и conhost.exe оригинальные, это еще ни о чем не говорит…

Но почему процессов Console Window Host может быть несколько? Этот вопрос меня заинтересовал. Пошел искать ответ в интернете. Да уж ребята, тут в интернете что только не пишут по поводу conhost.exe, но в основном идут разговоры о вирусах.. То есть если conhost.exe грузит комп, если процессов много, если они постоянно висят, то стоит просканировать комп на вирусы, что как бэ логично…

Ребята, есть хорошие новости! Я теперь точно разобрался с тем что такое Console Window Host или conhost.exe! Значит смотрите, у меня стоит Windows 10, я открыл диспетчер задач, пошел на вкладку с процессами, смотрите:

РЕКЛАМА

Да, я знаю, тут ничего нет интересного. Но, смотрите, я зажимаю кнопки Win + R, потом вставляю cmd и нажимаю ОК:

РЕКЛАМА

Появилась командная строка, но при этом в самом диспетчере появились два процесса, это cmd.exe и conhost.exe, гляньте:

Видите? То есть я запустил командную строку, а это процесс cmd.exe, и сразу появился процесс conhost.exe, понимаете? Совпадение? Не думаю… А вот я запустил еще одну командную строку и смотрите, в диспетчере уже два cmd.exe и два conhost.exe:

Понимаете? На каждое окно командной строки идет один conhost.exe! Вот так, хорошо что мы с этим разобрались

На одном сайте я прочитал инфу и все сходится. Короче процесс conhost.exe это типа кореш процесса cmd.exe, то есть командной строки. Conhost.exe помогает командной строке поддерживать всякие фишки, типа вставить текст, перенос файла прямо в командную строку ну и еще что-то наверно.. Все это благодаря корешу conhost.exe, такие вот пироги ребятки.

Теперь давайте посмотрим, где должен обитать процесс conhost.exe, ну то есть где должен лежать этот файл. Я открыл системный диск C, и там в окне в правом верхнем углу вставил conhost.exe и начал ждать:

Немного прошло времени, файл conhost.exe нашелся:

И как видим, нашелся он в этой папке:

C:\Windows\System32

И в этой:

C:\Windows\WinSxS\amd64_microsoft-windows-consolehost-launcher_31bf3856ad364e35_10.0.14393.0_none_a89d675a97f639c1

Имя этой папки, ну второй то есть, то оно короче у вас может отличаться, просто видите там в конце какая-то каша из букв….

Так, что еще можно сказать? Почему процессов conhost.exe может быть много? Откуда они берутся и насколько это опасно? Значит смотрите ребята, как мы уже поняли, процесс conhost.exe может быть только если есть процесс cmd.exe, верно? То есть если запущена командная строка.. Но что делать, если в диспетчере вы видите процессы cmd.exe и conhost.exe, но при этом нет никакой командной строки? Первая мысль что это вирус и это логично. Но, дело в том, что программы тоже могут использовать командную строку и чтобы вам не мешать, они это могут делать в скрытом режиме. Часто это происходит при установке некоторых программ. Я лично бывало замечал в диспетчере процессы cmd.exe, conhost.exe, но правда это было давно, я уже не помню что я устанавливал тогда…

Но что делать, если все таки вам кажется, что это вирус? Ребята, спокойно. Первое что нужно сделать, это проверить, а вирус ли это, есть подозрения? Откуда они и какие? А ну подумаем.. Сперва я запущу командную строку, ну так надо, чтобы создать ситуацию типа. Потом пойдем в диспетчер, откроем вкладку с процессами, вот мы и видим тут cmd.exe и conhost.exe:

Теперь нужно проверить откуда запущены эти процессы, для этого нажимаем по каждому правой кнопкой и жмем на пункт Открыть расположение файла:

У меня вот открылась эта папка:

C:\Windows\System32

Со вторым процессом, то есть с conhost.exe дела обстоят точно также, тоже он должен быть в System32, учтите это. А вот по поводу того от какого имени процессы должны быть запущены, то это я даже не знаю что сказать.. У меня запущены от текущей учетной записи, под которой я сижу. То есть не от имени система. Но я не знаю, если программа запускает консоль в скрытом режиме, то это не знаю от какого имени будет, тут уж извините, реально не знаю.

О, еще забыл, видите в диспетчере, ну вверху на картинке, какие там значки у процессов cmd.exe и conhost.exe? Так вот они такие и должны быть! Это вам просто на заметку.

Но что делать если в итоге после всего вы все равно думаете что у вас вирус? Тогда нужно просканировать комп двумя утилитами. Первая это Dr.Web CureIt!, ее можно скачать вот с этого сайта:

https://free.drweb.ru/cureit/

На этом сайте есть и инструкция как пользоваться, все очень просто и доступно. Ну а вот как выглядит эта утилита, это идет процесс сканирования:

Dr.Web CureIt! проверят комп на реально мощные и серьезные вирусы, такие как трояны, черви и прочая дичь. Утилита годная и давно уже завоевала репутацию лучшей. Вторая утилита, которой советую просканировать, это AdwCleaner, она в отличии от первой нацелена на поиск рекламных вирусов, то есть это как бэ и не вирусы опасные, но такая ерунда что вообще капец. Рекламные вирусы стараются всеми способами показать рекламу и где только можно, и в браузере, и на сайтах даже заменяет рекламу на свою (вообще ахтунг), а может и вообще на рабочем столе быть рекламные обьявления (ахтунг номер два). AdwCleaner можно скачать вот отсюдова:

https://www.malwarebytes.com/adwcleaner/

Сама программа простая, вы ее запускаете и нажимаете Сканировать ну или Scan:

Короче справитесь, я уверен вы со всем справитесь и сможете проверить ПК на вирусы.

Вот такие дела ребята по поводу conhost.exe ну или Console Window Host, просто первое это название процесса, а второе типа его описание

Еще забыл сказать, что может быть что процессы cmd.exe и conhost.exe висят просто потому произошел какой-то глюк в винде или глюк в процессе установки какой-то проги. Но если они висят долго и постоянно, то в принципе можно попробовать их завершить, думаю ничего ужасного не произойдет..

На этом все ребятки, извините если инфа вам не помогла в вашем вопросе. Удачи вам, всего хорошего и чтобы вы были счастливы!

Console Windows Host process (conhost.exe) can be met in the Task Manager, regardless of the fact you have opened the Windows console in this session. However, the chance that this process belongs to the malicious app is relatively low. In this post, you can find the detailed list of conhost.exe functions, as well as recognizing the malicious copy of this process among legit ones.

Why does my system run the Console Windows Host process?

conhost.exe process appeared in Windows Vista, as a substitution for ClientServer Runtime System Service (a.k.a. CSRSS), which was used in all Windows NT systems up to NT 6.0 (i.e. Windows XP). This process was deeply embedded in the system, because of some rudimentary functions which were carried by it¹. But more and more applications used this process to get access to the console, and in case of some errors, this app was prone to crash. The crash of the deep system process leads to the failure of the whole operating system, so Microsoft decided to split the console functions of CSRSS into the separated process to improve the system stability.

Nowadays, Console Windows Host is listed as a separated process in Task Manager. Nonetheless, if you use the process exploring tools with more precious detailing of the processes, you can see that conhost.exe is still associated with the csrss.exe app, which was left as a part of the past CSRSS process.

Console Windows Host may be present in several instances simultaneously. Don’t be scared, such situations appear when you have several applications running that need to use the console for their correct functioning. At the moment when one of such apps is closed, you will see the corresponding change in the Task Manager.

Is it a good idea to stop the conhost.exe process?

As it was stated before, conhost.exe is used by different programs to get access to the command prompt. Suspending this process will surely lead to different errors of these programs. And the performance boost that goes after this process is disabled is minimal: while being inactive, conhost.exe consumes about 5 MB RAM and less than 0.3% of CPU power.

The times when Windows processes may be disabled to increase the system performance have passed long ago. When Windows XP was the last actual OS version, computers were quite weak, and their upgrade was quite expensive, disabling several services could really make your PC faster without any significant problems. Nowadays, such tricks can make things even worse.

Can the Console Windows Hosts process be used by malware?

All legitimate system processes are listed in the Windows Processes category in Task Manager. If you see a duplicate of the process from Windows processes in the list of background processes, it may be malware. To check out the program the process belongs to, click it with a right mouse button, and choose the “Open file location” option.

If this file is stored somewhere in the Windows/System32 folder, it is 100% legit. Don’t be scared with a massive number of processes in the background – the majority of them are needed to decrease the time of programs opening.

However, if this process is located among the user’s processes and “Open file location” leads to the unknown directory, it is recommended to check your PC with antimalware software. My choice for this case is GridinSoft Anti-Malware.

Sometimes, malware may not mimic the original svchost.exe, but use console functions for its own purposes. Such a behavior is usual for potentially unwanted software (PUP), that has the functions of a web browser, for example, or email client. In some cases, console access may be used even by severe viruses, like spyware or ransomware. Below, you can see the list of actions these viruses can do using the svchost.exe functions:

• Change the registry keys;
• Getting some configurations or other data;
• Connecting to the servers that is needed for malware functioning.

Removing the viruses with GridinSoft Anti-Malware

Download and install the GridinSoft Anti-Malware. After the installation, you will be offered to perform the standard scan. Apply this action.

Standard scan lasts up to six minutes and checks the system files together with the files of the programs you have installed on your computer.

When the scan is complete, press “Apply” to wipe out the malicious items that are present on your PC.

References

1. Article about the Windows Console on Wikipedia

Article

Console Windows Host process (conhost.exe) — why is it running?

Description

Console Host Process (conhost.exe) is a Windows service that is needed to give the applications the ability to use the Windows console. It was implemented in Windows Vista to divide the CSRSS.exe app into two separated processes.

Author

Wilbur Woodham

Copyright

HowToFix.Guide

About the author

Wilbur Woodham

I was a technical writer from early in my career, and consider IT Security one of my foundational skills. I’m sharing my experience here, and I hope you find it useful.