Qu'est-ce que conhost.exe et pourquoi est-il en cours d'exécution?

Vous êtes sans doute en train de lire cet article, car vous êtes tombé par hasard sur le processus de l'hôte de la fenêtre de la console (conhost.exe) dans le Gestionnaire des tâches et vous vous demandez ce que c'est. Nous avons la réponse pour vous.

Cet article fait partie de notre série en cours d’explication sur divers processus trouvés dans le Gestionnaire des tâches, tels que svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe et bien d’autres. Je ne sais pas ce que sont ces services? Mieux commencer à lire!

Alors, quel est le processus hôte de la fenêtre de console?

Comprendre le processus hôte de la fenêtre de console nécessite un peu d’historique. Sous Windows XP, l'invite de commande était gérée par un processus appelé CSRSS (ClientServer Runtime System Service). Comme son nom l'indique, CSRSS était un service de niveau système. Cela a créé quelques problèmes. Premièrement, un crash dans CSRSS pourrait détruire tout un système, ce qui exposerait non seulement des problèmes de fiabilité, mais également des vulnérabilités de sécurité. Le deuxième problème était que CSRSS ne pouvait pas être thématisé, car les développeurs ne voulaient pas risquer le code de thème pour s'exécuter dans un processus système. Ainsi, l'invite de commande avait toujours l'aspect classique plutôt que d'utiliser de nouveaux éléments d'interface.

Notez dans la capture d'écran de Windows XP ci-dessous que l'invite de commande n'a pas le même style qu'une application telle que le Bloc-notes..

Windows Vista a introduit Desktop Window Manager, un service qui «dessine» des vues composites de Windows sur votre bureau plutôt que de laisser chaque application en gérer elle-même. L’invite de commande en a tiré quelques thèmes superficiels (comme le cadre vitreux présent dans d’autres fenêtres), mais cela a entraîné le risque de pouvoir faire glisser des fichiers, du texte, etc. dans la fenêtre d’invite de commande..

Pourtant, cette thématisation n’est allée jusqu’à présent. Si vous jetez un coup d'œil à la console de Windows Vista, vous constaterez que le thème est identique à celui de tout le reste, mais vous remarquerez que les barres de défilement utilisent toujours l'ancien style. Ceci est dû au fait que le gestionnaire de fenêtres du bureau s’occupe de dessiner les barres de titre et le cadre, mais qu’une vieille fenêtre CSRSS est toujours visible à l’intérieur..

Entrez Windows 7 et le processus hôte de la fenêtre de console. Comme son nom l'indique, c'est un processus hôte pour la fenêtre de la console. Le processus se situe en quelque sorte entre CSRSS et l'invite de commande (cmd.exe), ce qui permet à Windows de corriger les deux éléments d'interface de problèmes précédents tels que les barres de défilement dessinées correctement. Vous pouvez à nouveau faire glisser et déposer dans l'invite de commande. Et c’est la méthode encore utilisée dans Windows 8 et 10, permettant tous les nouveaux éléments d’interface et les nouveaux styles apparus depuis Windows 7..

Même si le gestionnaire de tâches présente l'hôte de fenêtre de console comme une entité distincte, il est toujours étroitement associé à CSRSS. Si vous vérifiez le processus conhost.exe dans Process Explorer, vous pouvez voir qu'il s'exécute sous le processus csrss.ese..

En fin de compte, l'hôte de fenêtre de console est un peu comme un shell qui conserve la puissance nécessaire à l'exécution d'un service de niveau système tel que CSRSS, tout en offrant de manière sécurisée et fiable la possibilité d'intégrer des éléments d'interface modernes..

Pourquoi y a-t-il plusieurs instances du processus en cours d'exécution?

Vous verrez souvent plusieurs instances du processus hôte de la fenêtre de console s'exécuter dans le Gestionnaire des tâches. Chaque instance d'invite de commande en cours d'exécution génère son propre processus d'hôte de fenêtre de console. En outre, d’autres applications utilisant la ligne de commande génèrent leur propre processus d’hôte de la console Windows, même si vous ne voyez pas de fenêtre active pour elles. L'application Plex Media Server en est un bon exemple. Elle est exécutée en tant qu'application d'arrière-plan et utilise la ligne de commande pour se rendre disponible pour les autres périphériques de votre réseau..

De nombreuses applications en arrière-plan fonctionnent de cette manière. Il n'est donc pas rare de voir plusieurs instances du processus d'hôte de fenêtre de console s'exécuter à un moment donné. C'est un comportement normal. Dans la plupart des cas, chaque processus devrait occuper très peu de mémoire (généralement moins de 10 Mo) et presque zéro processeur, sauf si le processus est actif..

Cela dit, si vous remarquez qu'une instance particulière de l'hôte de la fenêtre de la console ou d'un service associé cause des problèmes, tels qu'une utilisation excessive excessive du processeur ou de la RAM, vous pouvez vous renseigner sur les applications spécifiques impliquées. Cela pourrait au moins vous donner une idée de l'endroit où commencer le dépannage. Malheureusement, le gestionnaire de tâches lui-même ne fournit pas de bonnes informations à ce sujet. La bonne nouvelle est que Microsoft fournit un excellent outil avancé pour travailler avec des processus dans la gamme Sysinternals. Il suffit de télécharger Process Explorer et de l'exécuter - c'est une application portable, vous n'avez donc pas besoin de l'installer. Process Explorer fournit toutes sortes de fonctionnalités avancées. Nous vous recommandons vivement de lire notre guide de compréhension de Process Explorer pour en savoir plus..

Le moyen le plus simple de suivre ces processus dans Process Explorer consiste à appuyer d'abord sur Ctrl + F pour lancer une recherche. Recherchez «conhost», puis cliquez sur les résultats. Pendant que vous le faites, la fenêtre principale change pour vous montrer l'application (ou le service) associée à cette instance particulière de l'hôte de la fenêtre de la console..

Si l'utilisation du processeur ou de la RAM indique qu'il s'agit de l'instance à l'origine de votre problème, au moins, vous l'avez réduite à une application particulière..

Ce processus pourrait-il être un virus?

Le processus lui-même est un composant Windows officiel. Même s’il est possible qu’un virus ait remplacé le véritable hôte de la fenêtre de la console par un propre exécutable, il est peu probable. Si vous souhaitez en être sûr, vous pouvez vérifier l'emplacement du fichier sous-jacent du processus. Dans le Gestionnaire des tâches, cliquez avec le bouton droit de la souris sur n’importe quel processus Service Host et choisissez l’option «Open File Location»..

Si le fichier est stocké dans votre Windows \ System32 dossier, alors vous pouvez être assez certain que vous n'avez pas affaire à un virus.

En fait, il existe un cheval de Troie appelé Conhost Miner qui se fait passer pour le processus d’hôte de la fenêtre de console. Dans le Gestionnaire des tâches, il s’affiche exactement comme le processus réel, mais un peu de fouille révélera qu’il est effectivement stocké dans le répertoire. % userprofile% \ AppData \ Roaming \ Microsoft dossier plutôt que le Windows \ System32 dossier. Le cheval de Troie est en fait utilisé pour détourner votre PC des mines en Bitcoins. Par conséquent, si vous l’installez sur votre système, vous remarquerez également que l’utilisation de la mémoire est plus importante que prévu et que l’utilisation de la CPU se maintient à des niveaux très élevés 80%).

Bien sûr, utiliser un bon antivirus est le meilleur moyen de prévenir (et de supprimer) les logiciels malveillants comme Conhost Miner, et vous devriez le faire de toute façon. Mieux vaut prévenir que guérir!