Che cos’è conhost.exe e perché è in esecuzione?

By | Maggio 20, 2020
Che cos'è conhost.exe e perché è in esecuzione?

Non c’è dubbio che stai leggendo questo articolo perché ti sei imbattuto nel processo Console Window Host (conhost.exe) in Task Manager e ti stai chiedendo di cosa si tratta. Abbiamo la risposta per te.

Allora, che cos’è il processo Console Window Host?

La comprensione del processo Console Window Host richiede un po’ di cronologia. Nei giorni di Windows XP, il prompt dei comandi era gestito da un processo denominato Client Server Runtime System Service (CSRSS). Come suggerisce il nome, CSRSS era un servizio a livello di sistema. Questo ha creato un paio di problemi. Innanzitutto, un arresto anomalo di CSRSS potrebbe far crollare un intero sistema, esponendo non solo problemi di affidabilità, ma anche possibili vulnerabilità della sicurezza. 

Il secondo problema era che CSRSS non poteva essere temato, perché gli sviluppatori non volevano rischiare che il codice del tema fosse eseguito in un processo di sistema. Pertanto, il Prompt dei comandi ha sempre avuto l’aspetto classico anziché utilizzare nuovi elementi dell’interfaccia.

Notate in Windows XP che il Prompt dei comandi non ha lo stesso stile di un’app come il Blocco note.

Windows Vista ha introdotto Desktop Window Manager, un servizio che “disegna” viste composite di Windows sul desktop anziché lasciare che ogni singola app lo gestisca da sola. Il Prompt dei comandi ha ottenuto alcuni temi superficiali da questo (come la cornice vetrosa presente in altre finestre), ma ha avuto il costo di poter trascinare file, testo e così via nella finestra del Prompt dei comandi.

Tuttavia, quel tema è andato solo così lontano. Se dai un’occhiata alla console in Windows Vista, sembra che usi lo stesso tema di tutto il resto, ma noterai che le barre di scorrimento utilizzano ancora il vecchio stile. Questo perché Desktop Window Manager gestisce il disegno delle barre del titolo e della cornice, ma al suo interno si trova ancora una finestra CSRSS vecchio stile.

Immettere Windows 7 e il processo Console Window Host. Come suggerisce il nome, è un processo Console Window Host. Il tipo di processo si trova nel mezzo tra CSRSS e il Prompt dei comandi (cmd.exe), consentendo a Windows di risolvere entrambi i problemi precedenti: elementi dell’interfaccia come le barre di scorrimento vengono disegnati correttamente e puoi nuovamente trascinare e rilasciare nel Prompt dei comandi. E questo è il metodo ancora usato in Windows 8 e 10, che consente tutti i nuovi elementi dell’interfaccia e lo stile che sono arrivati ​​da Windows 7.

Anche se Task Manager presenta Console Window Host come entità separata, è ancora strettamente associato a CSRSS. Se si verifica il processo conhost.exe in Process Explorer, è possibile vedere che viene effettivamente eseguito con il processo csrss.ese.

Alla fine, Console Window Host è qualcosa di simile a una shell che mantiene il potere di eseguire un servizio a livello di sistema come CSRSS, garantendo allo stesso tempo in modo sicuro e affidabile la possibilità di integrare elementi di interfaccia moderni.

Perché ci sono diverse istanze del processo in esecuzione?

Vedrai spesso diverse istanze del processo Console Window Host in esecuzione in Task Manager. Ogni istanza del prompt dei comandi in esecuzione genererà il proprio processo Console Window Host. Inoltre, altre app che utilizzano la riga di comando genereranno il proprio processo di Windows Host della console, anche se non visualizzi una finestra attiva per loro. Un buon esempio di ciò è l’app Plex Media Server, che viene eseguita come app in background e utilizza la riga di comando per rendersi disponibile ad altri dispositivi sulla rete.

Molte app in background funzionano in questo modo, quindi non è raro vedere più istanze del processo Console Window Host in esecuzione in un dato momento. Questo è un comportamento normale. Per la maggior parte, ogni processo dovrebbe occupare pochissima memoria (in genere inferiore a 10 MB) e quasi zero CPU a meno che il processo non sia attivo.

Detto questo, se noti che una particolare istanza di Console Window Host, o un servizio correlato, sta causando problemi, come un uso eccessivo continuo di CPU o RAM, puoi verificare le app specifiche che sono coinvolte. Questo potrebbe almeno darti un’idea di dove iniziare la risoluzione dei problemi. Sfortunatamente, Task Manager stesso non fornisce buone informazioni al riguardo. 

La buona notizia è che Microsoft offre un eccellente strumento avanzato per lavorare con i processi come parte della sua gamma Sysinternals. Scarica Process Explorer ed eseguilo: è un’app portatile, quindi non è necessario installarla. Process Explorer offre tutti i tipi di funzionalità avanzate e consigliamo vivamente di leggere la nostra guida per comprendere Process Explorer per saperne di più.

Il modo più semplice per rintracciare questi processi in Process Explorer è premere prima Ctrl + F per avviare una ricerca. Cerca “conhost” e fai clic sui risultati. Mentre lo fai, vedrai la finestra principale cambiare per mostrarti l’app (o il servizio) associato a quella particolare istanza di Console Window Host.

Se l’utilizzo della CPU o della RAM indica che questa è l’istanza che ti causa problemi, almeno lo hai ridotto a una particolare app.

Questo processo potrebbe essere un virus?

Il processo stesso è un componente ufficiale di Windows. Mentre è possibile che un virus abbia sostituito il vero Window Host della console con un suo eseguibile, è improbabile. Se vuoi essere sicuro, puoi controllare la posizione del file sottostante del processo. In Task Manager, fai clic con il pulsante destro del mouse su qualsiasi processo dell’host di servizio e scegli l’opzione “Apri percorso file”.

Se il file è archiviato nella tua Windows\System32cartella, allora puoi essere abbastanza sicuro di non avere a che fare con un virus.

Esiste, infatti, un trojan là fuori chiamato Conhost Miner che si maschera come il processo Console Window Host. In Task Manager, appare proprio come il processo reale, ma un po ‘di scavo rivelerà che in realtà è archiviato nella %userprofile%\AppData\Roaming\Microsoftcartella anziché nella Windows\System32cartella. Il trojan viene effettivamente utilizzato per dirottare il tuo PC per estrarre Bitcoin, quindi l’altro comportamento che noterai se installato sul tuo sistema è che l’utilizzo della memoria è superiore a quello che potresti aspettarti e l’utilizzo della CPU mantiene a livelli molto alti (spesso sopra 80%).

Ovviamente, usare un buon scanner antivirus è il modo migliore per prevenire ( e rimuovere ) malware come Conhost Miner, ed è qualcosa che dovresti comunque fare. Meglio prevenire che curare!

Author: Presi Fulvio

Mi piacciono gli smartphone, computer e videogiochi. Come hobby scrivo per GuideSmartPhone articoli basati principalmente sulla tecnologia. Spero di esservi stato d'aiuto!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.