Informações do conhost.exe
- Categoria: Janelas
O guia a seguir fornece informações sobre o processo conhost.exe do Windows que você pode observar nos sistemas Windows 7, Windows 8 e Windows 10.
Acabei de notar o processo conhost.exe pela primeira vez no gerenciador de tarefas do Windows 7. Não tenho certeza se ele nunca esteve lá antes ou se eu não estava com o Gerenciador de Tarefas do Windows aberto no momento em que ele estava sendo executado no sistema operacional.
As propriedades do processo conhost.exe o descrevem como o Host da janela do console, o que sugere que ele está vinculado às janelas do console. O processo foi criado pela Microsoft Corporation, é assinado pela Microsoft e é executado sob o processo csrss.exe.
Observe que você pode ver um processo conhost ou vários processos no Gerenciador de Tarefas do Windows ou outras ferramentas de gerenciamento de processos.
Verifique se conhost.exe é legítimo
A primeira coisa que você pode querer fazer é verificar se o processo conhost.exe é legítimo, e não algum tipo de vírus.
Abra o Gerenciador de Tarefas do Windows usando Ctrl-Shift-Esc e mude para Processos em versões mais antigas do Windows, ou para Detalhes em versões mais recentes do Windows. Se esta é a primeira vez que abre o Gerenciador de Tarefas no Windows 10, selecione 'mais detalhes' para exibir o Gerenciador de Tarefas completo na tela.
Conhost.exe não é executado o tempo todo e você pode não vê-lo listado por padrão. Eu explico o que é o processo posteriormente neste guia, mas você pode invocá-lo iniciando uma nova janela de prompt de comando, por exemplo.
Mas é seguro? Se conhost.exe estiver localizado em c: windows system32 então, sim, é seguro. Clique com o botão direito no processo no Gerenciador de Tarefas e selecione o local do arquivo aberto no menu de contexto. Isso deve levá-lo diretamente ao diretório system32 da instalação do Windows.
Se o Gerenciador de Tarefas o levar a outro lugar, você pode ter detectado um vírus que se disfarça como conhost.exe.
Por outro lado, nunca falha em verificar se há código malicioso no arquivo. Você pode fazer isso, por exemplo, no Virustotal local na rede Internet. Basta fazer upload do arquivo para o serviço online e aguardar os resultados da verificação. Novamente, se estiver no system32, deve ser seguro; se não estiver, provavelmente não é.
O processo conhost desaparece assim que o processo host que o iniciou é fechado no Windows. Se for esse o caso, é justo presumir que não é um vírus o responsável pelo lançamento do processo.
Análise mais aprofundada de conhost.exe
Eu sugiro que você use um programa como o Process Explorer grátis para cavar mais fundo. Para começar, inicie o aplicativo com direitos elevados (clicando com o botão direito em seu arquivo executável e selecionando a opção 'executar como administrador').
O Process Explorer é como uma versão avançada do Gerenciador de Tarefas do Windows. Ele lista uma grande quantidade de informações que o Gerenciador de Tarefas não lista.
Clique no ícone de pesquisa na barra de ferramentas principal e digite conhost para começar. O Process Explorer verifica todos os processos e retorna qualquer processo, dll, thread ou arquivo que esteja relacionado ao conhost.exe.
Entre as informações exibidas estão os IDs do processo e as informações do caminho quando os arquivos são carregados. Esta é uma informação útil, pois você pode verificar rapidamente se conhost.exe é executado a partir do diretório system32 ou de outro local.
Você pode clicar em qualquer um para ir diretamente para a entrada na janela do Process Explorer. Sugiro que você clique com o botão direito do mouse no arquivo conhost.exe e selecione propriedades para iniciar uma análise mais profunda do processo.
O Process Explorer também pode ser usado para enviar o processo diretamente à Virustotal para verificação. Você pode economizar uma etapa se usar o Process Explorer.
A página de propriedades de conhost.exe destaca várias informações importantes. Primeiro, o caminho dos processos no sistema local e o processo pai. Na captura de tela acima, c: windows system32 conhost.exe é a localização do arquivo e seu processo pai é cmd.exe. Você pode ver processos diferentes dependendo dos programas que executa. Normalmente, é uma boa idéia verificá-los também, especialmente se eles carregarem o conhost.exe de um local diferente do system32.
Você também pode querer verificar a guia TCP / IP, apenas para ter certeza de que nada de especial está acontecendo lá. O conhost.exe não deve se conectar à rede ou à Internet e, se você vir uma tabela em branco, é outro indicador de que está tudo bem.
Minha situação
Depois de alguns testes, descobri que conhost.exe sempre apareceu como um processo quando reproduzia um vídeo no SMPlayer. O processo é encerrado imediatamente se a janela do player de vídeo for fechada.
O conhost.exe também aparecerá como um processo no Gerenciador de Tarefas se um prompt de linha de comando for aberto no Windows 7. O processo sempre será iniciado se uma janela de linha de comando (oculta ou visível) for iniciada no Windows 7.
A razão para isso é simples: a Microsoft está usando o processo conhost.exe como um proxy entre o processo crss que era responsável pela linha de comando no Windows XP e Windows Vista e o próprio programa cmd.exe. Isso garante que a janela da linha de comando seja totalmente compatível com o tema do sistema operacional.
Outro recurso que ele introduz é a capacidade de arrastar e soltar arquivos do Windows Explorer diretamente para o prompt da linha de comando que o XP oferece suporte, mas o Vista não.
Portanto, conhost.exe garante que o console do Windows use o tema do sistema operacional e que o recurso arrastar e soltar também seja compatível.
Para resumir: Se conhost.exe estiver localizado na pasta Windows / system32, então tudo provavelmente está em ordem. Você pode clicar com o botão direito do mouse no programa no Windows Explorer e selecionar propriedades para exibir informações adicionais sobre ele.