2 votes

Keyes avatar

questions sur conhost.exe et csrss.exe

Demandé el 30 de Juillet, 2014
Quand la question a-t-elle été
10389 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

enter image description here J'ai actuellement 2 csrss.exe qui tournent sous le système, utilisant 1700kb - 2156kb de mémoire chacun. En relation avec eux, il semble y avoir 2 conhost.exe, l'un utilisant environ 1000kb de RAM et 1400kb. L'un est sous SYSTEM et l'autre sous NETWORK. J'ai trouvé 2 csrss.exes dans mon système, un dans system32, un dans winsxs/amd64_microsoft (avec une grande quantité de chiffres) J'ai trouvé 1 conhost dans system32, et 8 conhosts dans winsxs/amd64_microsoft suivis de chiffres comme csrss. Est-ce normal ? J'ai aussi peut-être vu un troisième conhost fonctionner, mais je ne pense pas qu'il était attaché à csrss.

En utilisant les journaux de l'observateur d'événements et l'explorateur de processus, j'ai trouvé que les 2 fichiers conhost sous csrss, ont été lancés (dans mon test) à 15:33:52. Au même moment, dans l'observateur d'événements sous le système, le service MBAM est entré dans un état de fonctionnement. De même, le service serveur est entré dans un état d'exécution. D'autres services ont démarré une ou deux secondes plus tard : Service de liste réseau Hôte du service de diagnostic Accès aux périphériques d'interface humaine Inspection du réseau Micrsoft Hôte du système de diagnostic Recenseur de périphériques portables Service de navigateur informatique. Il n'y a pas d'entrée dans la partie application de l'observateur d'événements. Sous sécurité, à 15:33:52, il y avait une entrée pour :

Succès de l'audit : Un compte s'est connecté avec succès. ID du sujet : null sid (Plus bas sur la même entrée)

Nouvelle connexion : Identifiant de sécurité : connexion anonyme Nom de compte : connexion anonyme Domaine du compte : nt authority

Et il y a plusieurs autres sections de cette entrée. C'est mauvais ? J'ai trouvé plusieurs de ces entrées de connexion anonymes depuis le jour où j'ai eu mon ordinateur il y a un an, donc je ne pense pas que ce soit mauvais. Un autre ordinateur de la maison a le même nombre de fichiers conhost et csrss.exe sur le disque dur (environ 8-9, dans les dossiers d'installation amd64, et celui qui fonctionne sous system32, et les fichiers csrss. L'autre ordinateur avait 2 processus csrss en cours d'exécution mais pas de conhost. ) Est-ce que ça a l'air mauvais ou correct ? Je vais lancer des scans en mode sécurisé. (Mbam et mse). Les scans ont été effectués sans problème.

Voici une image de quand je lance Geforce experience, ce conhost apparaît et se ferme très rapidement. enter image description here

Demandé el 30 de Juillet, 2014 par Keyes

0 votes

Avatar de magicandre1981

J'ai aussi 2 csrss.exe. Exécutez ProcessExplorer (en tant qu'administrateur), sélectionnez que la ligne de commande est affichée et postez une image afin que je puisse voir la ligne de commande des processus conhost et csrss.exe.

Commenté el 30 de Juillet, 2014 par magicandre1981

0 votes

Avatar de Johan Leino

Quelle est exactement la question. Qu'est-ce qui vous fait penser que ces processus sont malveillants (ils ne le sont probablement pas) ?

Commenté el 30 de Juillet, 2014 par Johan Leino

0 votes

Avatar de Keyes

A un moment donné, j'ai vu un processus conhost apparaître mais il ne semblait pas être attaché à csrss. J'ai pensé que c'était l'expérience nvidia geforce car il semble que lorsque je l'exécute, un processus conhost apparaît brièvement sans être attaché à csrss (mais il n'est pas attaché à geforce non plus, pourtant il n'apparaît que lorsque je l'exécute).

Commenté el 30 de Juillet, 2014 par Keyes
Afficher 10 autres commentaires

Réponse

Trop de publicités?

4voto

I say Reinstate Monica avatar
I say Reinstate Monica Points 24173

Chaque fois que vous voyez ConHost.exe, cela signifie qu'un programme non-GUI est en cours d'exécution. Cela se produit lorsque vous ouvrez l'invite de commande ou lorsqu'un programme d'installation d'une application doit exécuter une commande "DOS" standard dans le cadre de la routine d'installation. Il est tout à fait normal que le processus ConHost.exe aille et vienne, et ne devrait être une source d'inquiétude que si vous avez de nombreuses (20-30+) instances pendant plus de quelques instants. De plus, il est tout à fait normal que vous observiez des activités de démarrage et d'arrêt de programmes et de services en relation avec le démarrage et l'arrêt des processus ConHost.exe, car c'est à ces moments du cycle de vie d'un programme qu'il devra souvent interagir avec une application non GUI.

Si vous souhaitez approfondir le sujet, l'article http://blogs.technet.com/b/askperf/archive/2009/10/05/Windows-7-Windows-server-2008-r2-console-host.aspx explique le nouvel ajout (à partir de Windows 7) qu'est ConHost.exe et le problème qu'il est censé résoudre: :

Dans les versions antérieures de Windows [c'est-à-dire avant Windows 7], toute l'activité de l'interface graphique au nom des applications non interface graphique qui s'exécutent sur le bureau (applications de console) était gérée par le processus système CSRSS.exe.

Si vous connaissez bien la façon dont Windows gère la séparation des privilèges entre les utilisateurs, vous pourriez voir correctement une faiblesse potentielle, confirme la suite de l'article :

Le problème est que même si une application s'exécute dans le contexte du compte d'un utilisateur normal, CSRSS.EXE s'exécute sous le compte du système local. Il était donc possible, dans certaines circonstances, pour un logiciel malveillant d'exploiter les faiblesses d'une application afin d'exécuter du code sous le compte Système local plus privilégié dans CSRSS.EXE.

Windows 7 a définitivement changé ce modèle en introduisant le processus ConHost.exe :

Cette exposition a été corrigée dans Windows 7 et Windows Server 2008 R2 en exécutant le code de messagerie de la console dans le contexte d'un nouveau processus, ConHost.exe. ConHost (Console Host) s'exécute dans le même contexte de sécurité que l'application console qui lui est associée. Au lieu d'envoyer une requête LPC au CSRSS pour le traitement des messages, la requête est envoyée à ConHost.

J'espère que cela vous aidera !

EDIT :

Deux instances de csrss.exe n'est pas anormal. J'ai observé cela de nombreuses fois sur des ordinateurs connus pour être propres. Si vous Ne le fais pas. Si vous avez deux instances en cours d'exécution, lancez simplement CMD.EXE et vous vous retrouverez probablement avec une deuxième instance de csrss.exe hébergeant une instance enfant de conhost.exe.

Dans votre cas, je ne vois aucune preuve de l'existence d'une raison malveillante pour la deuxième instance de csrss.exe ou les multiples instances de conhost.exe.

Répondu el 30 de Juillet, 2014 par I say Reinstate Monica (24173 Points )

0 votes

Avatar de Keyes

Alors dans mon cas, est-ce malveillant ? Sur le forum Tomshardware, on m'a dit que c'était un simple "virus trojan". (Le type avait une source terrible, alors je suis venu ici car les gens savent de quoi ils parlent). Comment puis-je trouver quel service est associé au conhost ? Lorsque j'utilise la fonction Aller aux services du gestionnaire de tâches, je ne trouve rien.

Commenté el 31 de Juillet, 2014 par Keyes

0 votes

Avatar de I say Reinstate Monica

Le moyen le plus utile que j'ai trouvé pour trouver le processus (ou service) associé à une instance de ConHost.exe est de trier par la colonne Start Time dans Process Explorer et de voir quels autres processus ont démarré en même temps que ConHost.exe. Je ne vois pas de raison de suspecter une malveillance dans votre cas. J'ai modifié ma réponse en conséquence.

Commenté el 5 de Août, 2014 par I say Reinstate Monica

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X