Información de Conhost.exe
- Categoría: Ventanas
La siguiente guía le proporciona información sobre el proceso de Windows conhost.exe que puede observar en los sistemas Windows 7, Windows 8 y Windows 10.
Acabo de notar el proceso conhost.exe por primera vez en el administrador de tareas de Windows 7. No estoy seguro de si nunca estuvo allí antes, o si no tenía el Administrador de tareas de Windows abierto en el momento en que se estaba ejecutando en el sistema operativo.
Las propiedades del proceso conhost.exe lo describen como el Host de la ventana de la consola, lo que sugiere que está vinculado a las ventanas de la consola. El proceso fue creado por Microsoft Corporation, está firmado por Microsoft y se ejecuta bajo el proceso csrss.exe.
Tenga en cuenta que puede ver un proceso conhost o varios procesos en el Administrador de tareas de Windows u otras herramientas de administración de procesos.
Verifique que conhost.exe sea legítimo
Lo primero que puede hacer es verificar que el proceso conhost.exe sea legítimo y no algún tipo de virus.
Inicie el Administrador de tareas de Windows usando Ctrl-Shift-Esc y cambie a Procesos en versiones anteriores de Windows, o para Detalles en las versiones más recientes de Windows. Si es la primera vez que abre el Administrador de tareas en Windows 10, seleccione 'más detalles' para mostrar el Administrador de tareas completo en la pantalla.
Sin embargo, Conhost.exe no se ejecuta todo el tiempo y es posible que no lo vea en la lista de forma predeterminada. Explico cuál es el proceso más adelante en la guía, pero puede invocarlo abriendo una nueva ventana de símbolo del sistema, por ejemplo.
¿Pero es seguro? Si conhost.exe se encuentra en c: windows system32 entonces sí, es seguro. Haga clic con el botón derecho en el proceso en el Administrador de tareas y seleccione abrir la ubicación del archivo en el menú contextual. Esto debería llevarlo directamente al directorio system32 de la instalación de Windows.
Si el Administrador de tareas lo lleva a otro lugar, es posible que haya detectado un virus que se disfraza de conhost.exe.
Por otro lado, nunca deja de verificar el archivo en busca de códigos maliciosos. Puede hacerlo, por ejemplo, en el Virustotal sitio web. Simplemente cargue el archivo en el servicio en línea y espere los resultados del escaneo. Nuevamente, si está en system32 debería ser seguro, si no lo está, probablemente no lo esté.
El proceso de conhost desaparece una vez que el proceso de host que lo inició se cierra en Windows. Si ese es el caso, es justo suponer que no es un virus el responsable del inicio del proceso.
Análisis más profundo de conhost.exe
Le sugiero que utilice un programa como el Explorador de procesos gratuito para profundizar más. Para comenzar, inicie la aplicación con derechos elevados (haciendo clic derecho en su archivo ejecutable y seleccionando la opción 'ejecutar como administrador').
Process Explorer es como una versión avanzada del Administrador de tareas de Windows. Enumera una gran cantidad de información que el Administrador de tareas no incluye.
Haga clic en el ícono de búsqueda en la barra de herramientas principal e ingrese conhost para comenzar. Process Explorer comprueba todos los procesos y devuelve cualquier proceso, dll, hilo o archivo relacionado con conhost.exe.
Entre la información que se muestra se encuentran los ID de proceso y la información de ruta cuando se cargan los archivos. Esta es información útil, ya que puede verificar rápidamente si conhost.exe se ejecuta desde el directorio system32 u otra ubicación.
Puede hacer clic en cualquiera para saltar directamente a la entrada en la ventana del Explorador de procesos. Le sugiero que haga clic con el botón derecho en el archivo conhost.exe y seleccione las propiedades para iniciar un análisis más profundo del proceso.
Process Explorer también se puede utilizar para enviar el proceso directamente a Virustotal para su verificación. Puede ahorrarse un paso si utiliza Process Explorer.
La página de propiedades de conhost.exe destaca información importante. Primero, la ruta de los procesos en el sistema local y el proceso principal. En la captura de pantalla anterior, c: windows system32 conhost.exe es la ubicación del archivo y su proceso principal es cmd.exe. Es posible que vea diferentes procesos allí según los programas que ejecute. Por lo general, es una buena idea verificarlos también, especialmente si cargan conhost.exe desde una ubicación diferente a system32.
Es posible que también desee verificar la pestaña TCP / IP, solo para asegurarse de que no haya nada lujoso allí. Conhost.exe no debería conectarse a la red o Internet, y si ve una tabla en blanco allí, es otro indicador de que todo está bien.
Mi situación
Después de algunas pruebas, descubrí que conhost.exe siempre aparecía como un proceso cuando reproducía un video en SMPlayer. El proceso se mata inmediatamente si se cierra la ventana del reproductor de video.
Conhost.exe también aparecerá como un proceso en el Administrador de tareas si se abre una línea de comando en Windows 7. El proceso siempre se inicia si se inicia una ventana de línea de comando (oculta o visible) en Windows 7.
La razón de esto es simple: Microsoft está usando el proceso conhost.exe como un proxy entre el proceso crss que era responsable de la línea de comando en Windows XP y Windows Vista y el programa cmd.exe en sí. Asegura que la ventana de la línea de comandos sea totalmente compatible con el tema del sistema operativo.
Otra característica que presenta es la capacidad de arrastrar y soltar archivos desde el Explorador de Windows directamente al indicador de la línea de comandos, lo que XP admite pero Vista no.
Entonces, conhost.exe asegura que la consola en Windows use el tema del sistema operativo, y que también sea compatible con la función de arrastrar y soltar.
En resumen: si conhost.exe se encuentra en la carpeta Windows / system32, es probable que todo esté en orden. Puede hacer clic con el botón derecho en el programa en el Explorador de Windows y seleccionar propiedades para mostrar información adicional al respecto.