Cet article fait partie de notre série en cours d'explications sur divers processus trouvés dans le Gestionnaire des tâches, tels que svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe et bien d'autres. Vous ne savez pas ce que sont ces services? Mieux vaut commencer à lire!
Alors, quel est le processus hôte de la fenêtre de la console?
Comprendre le processus hôte de la fenêtre de console nécessite un peu d’historique. Sous Windows XP, l'invite de commande était gérée par un processus nommé CSRSS (ClientServer Runtime System Service). Comme son nom l'indique, CSRSS était un service de niveau système. Cela a créé quelques problèmes. Premièrement, un crash dans CSRSS pourrait faire tomber tout un système, ce qui exposerait non seulement des problèmes de fiabilité, mais également des vulnérabilités de sécurité. Le deuxième problème était que CSRSS ne pouvait pas être thématisé, car les développeurs ne voulaient pas risquer le code de thème à exécuter dans un processus système. Ainsi, l'invite de commande avait toujours l'aspect classique plutôt que d'utiliser de nouveaux éléments d'interface.
Notez dans la capture d'écran de Windows XP ci-dessous que l'invite de commande n'a pas le même style qu'une application telle que le Bloc-notes.
Pourtant, cette thématisation n’est allée jusqu’à présent. Si vous examinez la console dans Windows Vista, vous constaterez qu’elle utilise le même thème que tout le reste, mais vous remarquerez que les barres de défilement utilisent toujours l’ancien style. En effet, Desktop Window Manager gère le dessin des barres de titre et du cadre, mais une fenêtre CSRSS à l'ancienne est toujours visible.
Même si le gestionnaire de tâches présente l’hôte de la fenêtre de console comme une entité distincte, il est toujours étroitement associé à CSRSS. Si vous vérifiez le processus conhost.exe dans Process Explorer, vous pouvez voir qu'il est exécuté sous le processus csrss.ese.
Pourquoi plusieurs processus du processus sont-ils en cours d'exécution?
De nombreuses applications en arrière-plan fonctionnent de cette manière. Il est donc courant de voir plusieurs instances du processus hôte de la fenêtre de console s'exécuter à un moment donné. C'est un comportement normal. Dans la plupart des cas, chaque processus devrait occuper très peu de mémoire (généralement moins de 10 Mo) et presque zéro processeur, à moins que le processus ne soit actif.
Cela dit, si vous remarquez qu'une instance particulière de l'hôte de la fenêtre de la console, ou d'un service associé, pose des problèmes, tels qu'une utilisation excessive excessive du processeur ou de la mémoire RAM, vous pouvez vous renseigner sur les applications spécifiques impliquées. Cela pourrait au moins vous donner une idée de l'endroit où commencer le dépannage. Malheureusement, le gestionnaire de tâches lui-même ne fournit pas de bonnes informations à ce sujet. La bonne nouvelle est que Microsoft fournit un excellent outil avancé pour travailler avec des processus dans le cadre de sa gamme Sysinternals. Il suffit de télécharger Process Explorer et de l’exécuter: il s’agit d’une application portable, vous n’avez donc pas besoin de l’installer. Process Explorer fournit toutes sortes de fonctionnalités avancées. Nous vous recommandons vivement de lire notre guide de compréhension de Process Explorer pour en savoir plus.
Le moyen le plus simple de suivre ces processus dans Process Explorer consiste à appuyer d'abord sur Ctrl + F pour lancer une recherche. Recherchez «conhost», puis cliquez sur les résultats. Dans ce cas, la fenêtre principale change pour vous montrer l’application (ou le service) associée à cette instance particulière de l’hôte de la fenêtre de la console.
Ce processus pourrait-il être un virus?
Le processus lui-même est un composant Windows officiel. Même s’il est possible qu’un virus ait remplacé le véritable hôte de la fenêtre de la console par un propre exécutable, il est peu probable.Si vous souhaitez en être sûr, vous pouvez consulter l’emplacement sous-jacent du processus. Dans le Gestionnaire des tâches, cliquez avec le bouton droit de la souris sur un processus de l'hôte de service et choisissez l'option «Ouvrir l'emplacement du fichier».
WindowsSystem32
dossier, alors vous pouvez être à peu près certain de ne pas avoir affaire à un virus.
%userprofile%AppDataRoamingMicrosoft
dossier plutôt que le
WindowsSystem32
dossier. Le cheval de Troie est en fait utilisé pour détourner votre PC des mines en Bitcoins. L’autre comportement que vous remarquerez s’il est installé sur votre système est que l’utilisation de la mémoire est plus importante que prévu et que l’utilisation de la CPU se maintient à des niveaux très élevés 80%).
Bien sûr, utiliser un bon antivirus est le meilleur moyen de prévenir (et de supprimer) les logiciels malveillants tels que Conhost Miner. C’est quelque chose que vous devriez faire de toute façon. Mieux vaut prévenir que guérir!