Ein TechJunkie-Leser hat mich gestern nach einem bestimmten Windows-Dienst gefragt, den er auf seinem Computer bemerkt hat. Es war "conhost.exe" und der Leser fragte sich, was es war, was es tat und ob es sicher war, auf seinem PC zu laufen oder nicht.
Angesichts aller Neuigkeiten zur Computersicherheit ist es selbstverständlich, dass die Menschen sich Sorgen über Dienste machen, die sie nicht erkennen. Ich würde immer empfehlen, herauszufinden, was ein Dienst oder ein Programm ist und was es tut, wenn Sie es nicht sofort erkennen. Selbst die sichersten Systeme können immer noch anfällig für Malware sein. Also ist es wirklich besser, auf Nummer sicher zu gehen!
Gerne beantworte ich Windows-bezogene Fragen, wo immer ich kann. Hier finden Sie alles, was ich über conhost.exe weiß.
Conhost.exe unter Windows
Conhost.exe wird auf Windows 10-Computern als Konsolen-Windows-Host angezeigt. Öffnen Sie den Task-Manager (klicken Sie mit der rechten Maustaste auf die Windows-Taskleiste, und wählen Sie sie aus). Scrollen Sie dann nach unten zu Windows-Prozessen, und es sollten eine oder mehrere Instanzen davon ausgeführt werden. Möglicherweise sehen Sie mehr Instanzen, möglicherweise nicht.
Mehrere Instanzen von Conhost.exe sind in Ordnung, wenn Sie mehrere Programme geöffnet haben. Wenn Sie Ihren Computer jedoch gerade aus dem ausgeschalteten Zustand heraus gestartet haben, bedeutet dies, dass im Hintergrund einige Programme ausgeführt werden, die Sie nicht benötigen.
Was macht Conhost.exe?
Conhost.exe ist eine Weiterentwicklung von crss.exe, die unter älteren Windows-Versionen wie XP ausgeführt wurde. Crss.exe war eine Mittelsmann-API, die es GUI-Anwendungen ermöglichte, mit Nicht-Gui-Anwendungen wie der Befehlszeile zu interagieren. Wenn Sie beispielsweise eine Textdatei mit einem Stapelverarbeitungsbefehl hatten, können Sie diese Textdatei in CMD ziehen und die Befehlszeile kann die Stapelverarbeitungsdatei ausführen. Programme, die eine GUI verwendeten, verwendeten auch crss.exe. mit der Konsole hinter den Kulissen zu interagieren.
Mit Crss.exe konnte die Konsole Drag & Drop in einer traditionell nicht Drag & Drop-fähigen Konsole ausführen. Crss.exe verwendete jedoch das lokale Systemkonto, um zu arbeiten, das über zahlreiche Berechtigungen für einen Computer verfügt. Theoretisch erlaubte Crss.exe die Interaktion von Exploits zwischen eingeschränkten Benutzerkonten, unter denen die GUI-Programme ausgeführt wurden, und dem lokalen Systemkonto, unter dem die Konsolenanwendungen ausgeführt wurden. Dies bot Malware eine Art Brücke, um uneingeschränkten Zugriff auf Ihren Computer zu erhalten.
Crss.exe wurde in Windows 7 durch conhost.exe ersetzt und ist in Windows 10 immer noch vorhanden. Es funktioniert genauso wie crss.exe, gewährt jedoch keinen Zugriff auf lokale Systemkonten oder erhöhte Berechtigungen.
Die Microsoft Technet-Website enthält eine nützliche Seite zu crss.exe und conhost.exe.
Einige Tech-Websites sprechen über conhost.exe, wenn es um Ästhetik und Themen geht, aber ich glaube nicht, dass dies zutrifft. Auf der Technet-Seite wird erklärt, dass conhost.exe eingeführt wurde, um die Sicherheit des Windows-Kerns zu gewährleisten, indem die Brücke zwischen Benutzerkonten und lokalen Computerkonten unterbrochen wurde. Es wird nichts darüber erwähnt, wie die Konsole angezeigt wird.
Meine eigenen Erfahrungen mit Windows Server aus verschiedenen Generationen stützen dies. Seit Server 2003 hat Microsoft viel daran gearbeitet, das Kernbetriebssystem von den Benutzerkonten zu trennen, um es sicherer zu machen. Es wurde nicht viel darüber nachgedacht, wie es aussah. Es ging nur darum, wie es funktionierte.
Ist conhost.exe sicher?
Wie Sie wahrscheinlich bereits wissen, kann einige Malware die Eigenschaften legitimer Windows-Prozesse oder -Programme nachahmen. Obwohl es auf der Oberfläche offensichtlich erscheint, dass conhost.exe sicher ist, ist es immer eine gute Idee, dies zu überprüfen. Hier ist wie.
- Klicken Sie mit der rechten Maustaste auf die Windows-Taskleiste und wählen Sie Task-Manager.
- Führen Sie einen Bildlauf zu Windows-Prozessen durch, und suchen Sie den Console Windows Host.
- Klicken Sie mit der rechten Maustaste und wählen Sie Eigenschaften.
Unter Speicherort sollte C: \ Windows \ System32 angezeigt werden. Alle Instanzen von conhost.exe sollten unter System32 ausgeführt werden. Wenn dies angezeigt wird, ist es sicher. Wenn der Dateispeicherort etwas anderes ist, ist dies wahrscheinlich nicht legitim.
Eine Möglichkeit, dies zu überprüfen, ist die Verwendung von Process Explorer. Dies ist ein Programm, das den Task-Manager aufruft und auf 11 umstellt. Öffnen Sie den Process Explorer und suchen Sie conhost.exe. Es soll Ihnen nicht nur zeigen, dass es legitim ist, sondern auch, mit welchem Programm es interagiert. Auf dem Bild sehen Sie, dass auf meinem Windows 10-Computer der Nvidia Web Helper-Prozess ausgeführt wird. Dies ist eine legitime Instanz von conhost.exe.
Sie können diesen Vorgang für jeden Windows-Prozess wiederholen, den Sie auschecken möchten. Jeder Prozess sollte seinen Speicherort unter C: \ Windows \ System32 haben. Ist dies nicht der Fall, führen Sie Ihren Antiviren- und Malware-Scanner für alle Fälle aus. Bei Hintergrundprozessen sollte der Speicherort mit dem installierten Verzeichnis des Prozesses übereinstimmen.
Ich hoffe das hat die Frage ausreichend beantwortet. Ja, conhost.exe ist seriös und sicher, solange es sich unter C: \ Windows \ System32 befindet.
Haben Sie andere Windows-Prozesse, über die Sie mehr erfahren möchten? Erzählen Sie uns davon, wenn Sie dies tun, und ich werde versuchen, so viele wie möglich zu beantworten!
