Ich habe derzeit 2 csrss.exe unter meinem System laufen, die jeweils 1700 KB – 2156 KB Speicher verwenden. Damit verbunden scheinen 2 conhost.exes zu sein, von denen eine ungefähr 1000 KB RAM und eine 1400 KB verwendet. Eine ist SYSTEM und eine ist NETWORK. Ich habe 2 csrss.exes in meinem System gefunden, eine in system32, eine in winsxs/amd64_microsoft (mit einer großen Anzahl von Zahlen). Ich habe 1 Conhost in system32 und 8 Conhosts in winsxs/amd64_microsoft gefunden, gefolgt von Zahlen wie csrss. Ist das normal? Ich habe möglicherweise auch einen dritten Conhost laufen sehen, aber ich glaube nicht, dass er an csrss angehängt war.
Mithilfe der Ereignisanzeige-Protokolle und des Prozess-Explorers habe ich die beiden Conhost-Dateien unter CSSRS gefunden, die (in meinem Test) um 15:33:52 gestartet wurden. Gleichzeitig wurde in der Ereignisanzeige unter System der MBAM-Dienst ausgeführt. Auch der Serverdienst wurde ausgeführt. Andere Dienste, die etwa ein oder zwei Sekunden später gestartet wurden: Netzwerklistendienst Diagnosedienst-Host Zugriff auf Benutzerschnittstellengeräte Microsoft-Netzwerkinspektion Diagnosesystem-Host Portabler Geräte-Enumerator Computerbrowserdienst Im Anwendungsteil der Ereignisanzeige gab es keinen Eintrag. Unter Sicherheit gab es um 15:33:52 einen Eintrag für:
Audit erfolgreich: Ein Konto hat sich erfolgreich angemeldet. Betreff-ID: null sid (Weiter unten im selben Eintrag)
Neue Anmeldung: Sicherheits-ID: anonyme Anmeldung Kontoname: anonyme Anmeldung Kontodomäne: nt-Autorität
Und es gibt noch mehrere weitere Abschnitte dieses Eintrags. Ist das schlimm? Ich habe mehrere dieser anonymen Anmeldeeinträge gefunden, die bis zu dem Tag zurückreichen, an dem ich meinen PC vor einem Jahr bekommen habe, also denke ich nicht, dass es schlimm ist. Ein anderer PC im Haus hat die gleiche Anzahl von Conhost- und csrss.exe-Dateien auf der Festplatte (etwa 8-9, in amd64-Installationsordnern und der, der unter system32 läuft, und die CSSRSS-Dateien. Auf dem anderen PC liefen 2 CSSRSS-Prozesse, aber kein Conhost.) Sieht das schlimm oder okay aus? Ich werde einige Safemode-Scans ausführen. (Mbam und mse). Die Scans haben keine Ergebnisse geliefert.
hier ist ein Bild von dem Conhost, wenn ich Geforce Experience ausführe. Er erscheint und fährt sehr schnell herunter.
Antwort1
Wenn Sie ConHost.exe sehen, bedeutet dies, dass ein Nicht-GUI-Programm ausgeführt wird. Dies geschieht, wenn Sie die Eingabeaufforderung öffnen oder wenn ein Anwendungsinstallationsprogramm im Rahmen der Installationsroutine einen Standard-DOS-Befehl ausführen muss. Es ist ganz normal, dass der ConHost.exe-Prozess kommt und geht, und sollte nur dann Anlass zur Sorge geben, wenn Sie viele (20-30+) Instanzen für mehr als ein paar Augenblicke haben. Darüber hinaus ist es ganz richtig, dass Sie Start-/Stopp-Aktivitäten von Programmen und Diensten im Zusammenhang mit dem Starten und Stoppen von ConHost.exe-Prozessen beobachten, da diese zu diesen Zeitpunkten im Lebenszyklus eines Programms häufig mit einer Nicht-GUI-Anwendung interagieren müssen.
Wenn Sie tiefer einsteigen möchten, der Artikelhttp://blogs.technet.com/b/askperf/archive/2009/10/05/windows-7-windows-server-2008-r2-console-host.aspxerklärt die neue Ergänzung (ab Windows 7), ConHost.exe, und das Problem, das sie lösen soll::
In früheren Windows-Versionen [also vor Windows 7] wurde die gesamte GUI-Aktivität von Nicht-GUI-Anwendungen, die auf dem Desktop ausgeführt wurden (Konsolenanwendungen), durch den Systemprozess CSRSS.exe vermittelt.
Wenn Sie wissen, wie Windows die Rechteverteilung zwischen Benutzern handhabt, erkennen Sie möglicherweise eine potenzielle Schwachstelle. Im weiteren Verlauf des Artikels können Sie dies bestätigen:
Das Problem dabei war, dass CSRSS.EXE unter dem lokalen Systemkonto ausgeführt wurde, auch wenn eine Anwendung im Kontext eines normalen Benutzerkontos ausgeführt wurde. Daher war es unter bestimmten Umständen möglich, dass Malware Schwachstellen in einer Anwendung ausnutzte, um Code unter dem privilegierteren lokalen Systemkonto in CSRSS.EXE auszuführen.
Windows 7 hat dieses Modell durch die Einführung des Prozesses ConHost.exe dauerhaft geändert:
Dieses Risiko wurde in Windows 7 und Windows Server 2008 R2 behoben, indem der Konsolennachrichtencode im Kontext eines neuen Prozesses, ConHost.exe, ausgeführt wurde. ConHost (Console Host) wird im selben Sicherheitskontext wie die zugehörige Konsolenanwendung ausgeführt. Anstatt eine LPC-Anforderung an CSRSS zur Nachrichtenverarbeitung zu senden, wird die Anforderung an ConHost gesendet.
Hoffentlich hilft das!
BEARBEITEN:
Zwei Instanzen von csrss.exe sind nicht ungewöhnlich. Ich habe dies schon oft auf Computern beobachtet, die als sauber gelten. Wenn SienichtWenn Sie zwei Instanzen ausführen, starten Sie einfach CMD.EXE und Sie erhalten wahrscheinlich eine zweite Instanz von csrss.exe, die eine untergeordnete Instanz von conhost.exe hostet.
In Ihrem Fall sehe ich keine Hinweise darauf, dass es einen böswilligen Grund für die zweite Instanz von csrss.exe oder die mehrfachen Instanzen von conhost.exe gibt.