タスクマネージャーのコンソールウィンドウホスト(conhost.exe)プロセスを偶然見つけて、それが何であるか疑問に思っているので、この記事を読むのは間違いありません。答えがあります。
関連する: このプロセスとは何ですか?また、PCで実行されるのはなぜですか?
この記事は継続中のシリーズの一部ですsvchost.exe、dwm.exe、ctfmon.exe、mDNSResponder.exe、rundll32.exe、Adobe_Updater.exeなど、タスクマネージャーにあるさまざまなプロセスの説明。それらのサービスが何であるか知らないのですか?読み始めましょう!
コンソールウィンドウのホストプロセスとは何ですか?
コンソールウィンドウのホストプロセスについて少し歴史が必要です。 Windows XPの時代、コマンドプロンプトはClientServer Runtime System Service(CSRSS)という名前のプロセスによって処理されていました。名前が示すように、CSRSSはシステムレベルのサービスでした。これにより、いくつかの問題が発生しました。まず、CSRSSのクラッシュはシステム全体をダウンさせる可能性があり、信頼性の問題だけでなく、セキュリティの脆弱性も同様に露出します。 2番目の問題は、開発者がシステムプロセスで実行されるテーマコードを危険にさらしたくないため、CSRSSをテーマにできないことでした。そのため、コマンドプロンプトは、新しいインターフェイス要素を使用するのではなく、常にクラシックな外観になりました。
以下のWindows XPのスクリーンショットでは、コマンドプロンプトがメモ帳などのアプリと同じスタイルにならないことに注意してください。
関連する: デスクトップウィンドウマネージャー(dwm.exe)とは何で、なぜ実行されているのですか?
Windows Vistaはデスクトップウィンドウを導入しましたマネージャー-個々のアプリがそれを単独で処理するのではなく、ウィンドウの複合ビューをデスクトップに「描画」するサービス。コマンドプロンプトは、これからいくつかの表面的なテーマを取得しました(他のウィンドウにあるガラスのフレームのように)が、コマンドプロンプトウィンドウにファイルやテキストなどをドラッグアンドドロップできるという犠牲を払っていました。
それでも、そのテーマはこれまでのところに過ぎませんでした。 Windows Vistaのコンソールを見ると、他のすべてのものと同じテーマを使用しているように見えますが、スクロールバーはまだ古いスタイルを使用していることがわかります。これは、デスクトップウィンドウマネージャーがタイトルバーとフレームの描画を処理するが、昔ながらのCSRSSウィンドウがまだ内部にあるためです。
Windows 7とコンソールウィンドウホストを入力しますプロセス。名前が示すように、コンソールウィンドウのホストプロセスです。プロセスは、CSRSSとコマンドプロンプト(cmd.exe)の中間に位置し、Windowsが以前の問題の両方を修正できるようにします。スクロールバーなどのインターフェイス要素は正しく描画され、再びコマンドプロンプトにドラッグアンドドロップできます。そして、それはまだWindows 8および10で使用されている方法であり、Windows 7以降に登場したすべての新しいインターフェイス要素とスタイリングを可能にします。
タスクマネージャーはコンソールを表示しますが別のエンティティとしてのウィンドウホストは、依然としてCSRSSと密接に関連しています。プロセスエクスプローラーでconhost.exeプロセスをチェックアウトすると、実際にcsrss.eseプロセスの下で実行されていることがわかります。
最後に、コンソールウィンドウホストは何かCSRSSのようなシステムレベルのサービスを実行する力を維持しながら、最新のインターフェース要素を統合する機能を安全かつ確実に付与するシェルのようなものです。
実行中のプロセスのインスタンスが複数あるのはなぜですか?
多くの場合、コンソールのいくつかのインスタンスが表示されますタスクマネージャーで実行されているウィンドウホストプロセス。実行中のコマンドプロンプトの各インスタンスは、独自のコンソールウィンドウホストプロセスを生成します。さらに、コマンドラインを使用する他のアプリは、アクティブなウィンドウが表示されていなくても、独自のコンソールWindowsホストプロセスを生成します。この良い例は、Plex Media Serverアプリです。これは、バックグラウンドアプリとして実行され、コマンドラインを使用して、ネットワーク上の他のデバイスで使用できるようにします。
多くのバックグラウンドアプリはこのように機能するため、そうではありませんコンソールウィンドウホストプロセスの複数のインスタンスが常に実行されていることはまれです。これは正常な動作です。ほとんどの場合、プロセスがアクティブでない限り、各プロセスはメモリをほとんど消費せず(通常は10 MB未満)、CPUはほとんどゼロです。
ただし、特定のコンソールウィンドウホストのインスタンス(または関連するサービス)は、CPUまたはRAMの過剰な使用が継続するなどの問題を引き起こしているため、関連する特定のアプリをチェックインできます。それは少なくともトラブルシューティングを開始する場所のアイデアを提供するかもしれません。残念ながら、タスクマネージャー自体はこれに関する適切な情報を提供しません。良いニュースは、MicrosoftがSysinternalsラインアップの一部としてプロセスを操作するための優れた高度なツールを提供していることです。 Process Explorerをダウンロードして実行するだけです。これはポータブルアプリなので、インストールする必要はありません。 Process Explorerはあらゆる種類の高度な機能を提供します。詳細については、Process Explorerを理解するためのガイドを読むことを強くお勧めします。
これらのプロセスを追跡する最も簡単な方法Process Explorerは、最初にCtrl + Fを押して検索を開始します。 「conhost」を検索し、結果をクリックします。すると、メインウィンドウが変わり、コンソールウィンドウホストの特定のインスタンスに関連付けられたアプリ(またはサービス)が表示されます。
CPUまたはRAMの使用量が、これが問題の原因であると示している場合、少なくとも特定のアプリに絞り込まれています。
このプロセスはウイルスですか?
プロセス自体は公式のWindowsです成分。ウイルスが実際のコンソールウィンドウホストを独自の実行可能ファイルに置き換えた可能性はありますが、可能性は低いです。確認したい場合は、プロセスの基になるファイルの場所を確認できます。タスクマネージャーで、任意のサービスホストプロセスを右クリックし、「ファイルの場所を開く」オプションを選択します。
ファイルが WindowsSystem32 フォルダーに移動すると、ウイルスに対処していないことがかなり確実になります。
実際には、そこに名前のトロイの木馬がありますコンソールウィンドウのホストプロセスを装ったConhost Miner。タスクマネージャーでは、実際のプロセスと同じように見えますが、少し掘り下げると、実際にプロセスに保存されていることがわかります %userprofile%AppDataRoamingMicrosoft フォルダーではなく WindowsSystem32 フォルダ。 実際、トロイの木馬はPCをハイジャックしてビットコインをマイニングするために使用されるため、システムにインストールされている場合に気付く他の動作は、メモリ使用量が予想よりも高く、CPU使用量が非常に高いレベルで維持されることです(多くの場合、上記の80%)。
関連する: Windows 10のベストアンチウイルスとは何ですか? (Windows Defenderは十分ですか?)
もちろん、Conhost Minerなどのマルウェアを防止(および削除)するには、優れたウイルススキャナーを使用するのが最善の方法であり、とにかくすべきことです。転ばぬ先の杖!
