Sin duda, está leyendo este artículo porque se encontró con el proceso Console Window Host (conhost.exe) en el Administrador de tareas y se preguntó qué es. Tenemos la respuesta para ti.
Este artículo es parte de nuestra serie en curso que explica varios procesos que se encuentran en el Administrador de tareas como svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe y muchos más. ¿No sabes cuáles son estos servicios? ¡Mejor empieza a leer!
Entonces, ¿cuál es el proceso de host de la ventana de la consola?
Comprender el proceso de host de la ventana de la consola requiere un poco de historia. En los días de Windows XP, el símbolo del sistema era administrado por un proceso llamado ClientServer Runtime System Service (CSRSS). Como sugiere su nombre, CSRSS era un servicio a nivel de sistema. Esto creó algunos problemas. Primero, una falla en CSRSS podría derribar un sistema completo, lo que expondría no solo problemas de confiabilidad sino también posibles vulnerabilidades de seguridad. El segundo problema fue que CSRSS no podía tener un tema porque los desarrolladores no querían arriesgarse a que el código del tema se ejecutara en un proceso del sistema. Por lo tanto, el símbolo del sistema siempre ha tenido el aspecto clásico en lugar de utilizar nuevos elementos de la interfaz de usuario.
Tenga en cuenta en la captura de pantalla de Windows XP a continuación que el símbolo del sistema no tiene el mismo estilo que una aplicación como el Bloc de notas.
Windows Vista introdujo Desktop Window Manager, un servicio que «dibuja» vistas compuestas de ventanas en su escritorio en lugar de que cada aplicación lo haga por sí misma. El símbolo del sistema extrajo un tema superficial (como el marco vidrioso presente en otras ventanas), pero se produjo a expensas de poder arrastrar y soltar archivos, texto, etc. en la ventana del símbolo del sistema.
Sin embargo, esta temática no fue más allá. Si echas un vistazo a la consola en Windows Vista, parece que usa el mismo tema que todo lo demás, pero notarás que las barras de desplazamiento todavía usan el estilo antiguo. Esto se debe a que Desktop Window Manager maneja el dibujo de las barras de título y el marco, pero todavía hay una ventana CSRSS anticuada dentro.
Ingrese a Windows 7 y al proceso de host de la ventana de la consola. Como sugiere el nombre, este es un proceso de host para la ventana de la consola. El proceso se encuentra en el medio entre CSRSS y el símbolo del sistema (cmd.exe), lo que permite que Windows solucione los dos problemas anteriores: los elementos de la interfaz, como las barras de desplazamiento, se muestran correctamente y puede arrastrar y soltar nuevamente en el símbolo del sistema. Y este es el método que todavía se usa en Windows 8 y 10, que permite todos los nuevos elementos de interfaz y estilo que han aparecido desde Windows 7.
Aunque el administrador de tareas presenta el host de la ventana de la consola como una entidad separada, todavía está estrechamente asociado con CSRSS. Si verifica el proceso conhost.exe en Explorador de procesos, puede ver que en realidad se está ejecutando bajo el proceso csrss.ese.
En última instancia, el host de la ventana de la consola es algo así como un shell que mantiene el poder de ejecución de un servicio a nivel de sistema como CSRSS, al tiempo que garantiza de manera segura y confiable la capacidad de integración con elementos de interfaz modernos.
¿Por qué se están ejecutando varias instancias del proceso?
A menudo verá varias instancias del proceso del Host de la ventana de la consola ejecutándose en el Administrador de tareas. Cada instancia del símbolo del sistema en ejecución generará su propio proceso de host de la ventana de la consola. Además, otras aplicaciones que usan la línea de comando generarán su propio proceso de host de Windows de consola, incluso si no ve una ventana activa para ellas. Un buen ejemplo es la aplicación Plex Media Server, que se ejecuta en segundo plano y utiliza la línea de comandos para estar disponible para otros dispositivos en su red.
Muchas aplicaciones en segundo plano funcionan de esta manera, por lo que no es raro ver varias instancias del proceso de host de la ventana de la consola ejecutándose al mismo tiempo. Este es un comportamiento normal. En su mayor parte, cada proceso debería ocupar muy poca memoria (normalmente menos de 10 MB) y casi cero CPU a menos que el proceso esté activo.
Dicho esto, si observa que una instancia particular del Host de la ventana de la consola, o un servicio relacionado, está causando problemas, como un uso excesivo continuo de CPU o RAM, es posible que desee verificar las aplicaciones específicas involucradas. Esto podría al menos darle una idea de dónde comenzar a solucionar problemas. Desafortunadamente, el Administrador de tareas en sí no proporciona buena información al respecto. La buena noticia es que Microsoft proporciona una gran herramienta avanzada para trabajar con procesos como parte de su línea Sysinternals. Solo descarga Explorador de procesos y ejecútelo: es una aplicación portátil, por lo que no es necesario instalarla. Process Explorer proporciona todo tipo de funciones avanzadas y le recomendamos encarecidamente que lea nuestra guía para comprender Process Explorer para obtener más información.
La forma más fácil de seguir estos procesos en Process Explorer es presionar primero Ctrl + F para buscar. Busque «conhost», luego haga clic en los resultados. Al hacer esto, verá que la ventana principal cambia para mostrarle la aplicación (o servicio) asociado con esa instancia de host de la ventana de la consola en particular.
Si el uso de CPU o RAM indica que esta es la instancia con la que tiene problemas, al menos lo ha reducido a una aplicación en particular.
¿Podría este proceso ser un virus?
El proceso en sí es un componente oficial de Windows. Si bien es posible que un virus haya reemplazado el host de la ventana de la consola real con su propio ejecutable, eso es poco probable. Si desea estar seguro, puede verificar la ubicación del archivo subyacente en el proceso. En el Administrador de tareas, haga clic con el botón derecho en cualquier proceso de host de servicio y elija la opción «Abrir ubicación de archivo».
Si el archivo está almacenado en su WindowsSystem32 carpeta, entonces puede estar bastante seguro de que no se trata de un virus.
En realidad, existe un caballo de Troya llamado Conhost Miner que se hace pasar por el proceso de host de la ventana de la consola. En el Administrador de tareas, parece el proceso real, pero un poco de investigación revelará que en realidad está almacenado en el %userprofile%AppDataRoamingMicrosoft carpeta en lugar de la WindowsSystem32 carpetas. El troyano se usa en realidad para secuestrar su PC para extraer Bitcoins, por lo que el otro comportamiento que notará si está instalado en su sistema es que el uso de memoria es mayor de lo esperado y el uso de CPU permanece en niveles muy altos (a menudo por encima de 80 %).
Por supuesto, usar un buen antivirus es la mejor manera de prevenir (y eliminar) malware como Conhost Miner, y es algo que debería estar haciendo de todos modos. Más vale prevenir que curar !