Windows 10 ist ein dienst- und prozessbasiertes Betriebssystem. Tatsächlich werden Sie, wenn Sie auf die lokalen Dienste des Systems zugreifen, auf eine Vielzahl von Diensten stoßen, von denen einige sehr übersichtlich sind, andere jedoch nicht so sehr. Genau hier müssen wir vorsichtig sein, denn wenn wir einen Prozess oder eine Dienstleistung beenden, die wir nicht verstehen, können allgemeine Fehler auftreten, die zur Instabilität des Systems oder einer seiner Komponenten führen.
Der Prozess conhost.exe startet, wenn wir das Befehlsterminal ausführen, einschließlich des aktiven und inaktiven Fensters. In dieser komplexen Welt der Dienste und Prozesse werden wir sicherlich irgendwann eine Datei namens "conhost.exe" finden und obwohl ihr Name und ihre Aufgabe nicht klar sind, müssen wir sie im Detail analysieren, bevor wir etwas dagegen unternehmen. Einige Maßnahmen, um zu überprüfen, ob wir nicht durch eine infektiöse Kopie dieses Dienstes infiziert sind, sind:
Analysieren Sie, ob conhost.exe bösartig ist
- Versuchen Sie, alle CMD- oder Befehlskonsolenfenster mit dem Prozess cmd.exe zu schließen
- Überprüfen Sie geplante Aufgaben und prüfen Sie, ob Aufgaben ausgeführt werden.
- Überprüfen Sie, ob eine Anwendung die Befehlskonsole verwendet, um Aktivitäten auszuführen
- Führen Sie einen Viren- und Malware-Scanner auf Ihrem Computer aus
- Verwenden Sie die Anwendung zur Fehlerbehebung und Reparatur des Systems
Daher ist Solvetic hier, um Ihnen bei Ihren Fragen zu Malware zu helfen.
1. Was ist die Datei conhost.exe?
Das erste, was wir verstehen und deutlich machen müssen, ist, dass es sich bei einer ausführbaren Datei (.exe) um eine echte Datei handelt, die von Microsoft signiert ist und deren Standardspeicherort sich im Ordner system32 befindet. Der Grund dafür ist einfach, viele ausführbare Dateien sind mit bösartigen Codes konfiguriert, deren Zweck es ist, das System und lokale Dateien anzugreifen, daher wird ihr Speicherort kein Systemordner wie der System32-Ordner sein.
Seit XP-Editionen gibt es einen aktiven Prozess namens ClientServer Runtime System Service (CSRSS). Dieser Prozess ist ein Dienst auf Systemebene. Nun, Microsoft hat den conhost.exe-Prozess entwickelt, damit er unter dem csrss.exe-Prozess ausgeführt werden kann. Aber nicht alles ist so einfach, wie es scheint, denn bei der Ausführung auf diese Weise gab es zwei Probleme:
- Jeder noch so kleine Fehler in CSRSS blockierte das gesamte System und beeinträchtigte logischerweise die Produktivität und Leistung.
- Zweitens konnte CSRSS keine neuen Themen haben, was den Entwickler einschränkte, die Aspekte des Fensters zu ändern.
Aufgrund der Natur von Windows ist es normal, dass im Task-Manager verschiedene Instanzen des Host-Prozesses des Konsolenfensters (conhost.exe) ausgeführt werden. Dies liegt daran, dass jede Bestellung, die wir aufgeben, unabhängig einen conhost-Prozess erstellt. Wenn wir beispielsweise die Eingabeaufforderung in Windows 10 öffnen und das Dienstprogramm Process Explorer verwenden, können wir sehen, dass conhost.exe mit dieser ausgeführten Konsole verknüpft ist:
VERGRÖSSERN
NotizDieses Dienstprogramm kann unter folgendem Link heruntergeladen werden:
Typische conhost.exe-FehlerIn dieser Welt der Prozesse und Dienste ist es normal, dass wir einige conhost.exe-Fehler finden, wie zum Beispiel:
- Conhost.exe Anwendungsfehler
- Conhost.exe ist keine gültige Win32-Anwendung
- Conhost.exe läuft nicht
- Conhost.exe hat ein Problem festgestellt und muss beendet werden. Es tut uns leid für die Unannehmlichkeiten
- Kann conhost.exe nicht finden
- Conhost.exe nicht gefunden
- Fehlerhafter Anwendungspfad: conhost.exe
- Fehler beim Starten des Programms: conhost.exe
- Conhost.exe fehlgeschlagen
Für diese Art von Situation empfiehlt Solvetic, dass Sie das Dienstprogramm Process Explorer verwenden, da es den spezifischen Pfad angibt, in dem Conhost.exe zugeordnet ist, und von dort aus die entsprechenden administrativen Entscheidungen treffen können.
2. Wissen, ob die Datei conhost.exe ein Virus ist
Die klare und klare Antwort ist "Nein". Wie bereits erwähnt, handelt es sich um einen von Microsoft signierten Prozess, der sich im System32-Verzeichnis befindet, aber da alles auf dieser Welt seine Kopie oder Nachahmung hat, ist es möglich, dass ein Angreifer einen Conhost simuliert file.exe, um seine Aktionen auszuführen.
Schritt 1
Sie tun dies, indem sie einen Buchstaben oder seine Reihenfolge ändern, aber um Zweifel auszuräumen, können wir zum Task-Manager gehen und dort die Zeile "Host des Konsolenfensters" erkennen, mit der rechten Maustaste darauf klicken und die Option "Dateispeicherort öffnen" auswählen ":
Dadurch werden wir zum ursprünglichen Speicherort der Datei conhost.exe umgeleitet, die, wenn sie original ist, im Pfad enthalten sein muss.
C:\Windows\System32
VERGRÖSSERN
Damit wir überprüfen können, wie diese Datei ersetzt werden kann, gibt es derzeit einen Trojaner namens Conhost Miner, ein Prozess, der als Bitcoin-Miner agiert und wir wissen genau, dass dies einen übermäßigen Verbrauch von Systemressourcen wie CPU, Speicher bedeutet , usw., die seine optimale Leistung beeinträchtigen, kann dieser Trojaner im folgenden Pfad gefunden werden.
Wir sehen, dass es auf der Erscheinungsebene eine conhost.exe simuliert, aber sein Zweck ist überhaupt nicht der von Microsoft, was die Sicherheit und Leistung unseres Computers beeinträchtigt.
% Benutzerprofil% \ AppData \ Roaming \ Microsoft
VERGRÖSSERN
Wir können Antiviren- oder Antimalware-Dienstprogramme verwenden, um jede Bedrohung dieser Art auszuschließen und somit wissen, dass die ausgeführte Datei conhost.exe gültig ist.
Wir haben gelernt, dass wir vor dem Löschen einer Windows-Datei ihre Herkunft und ihren Betrieb dokumentieren müssen, um eine Destabilisierung des Systems im Allgemeinen zu vermeiden.
