Actualmente tengo 2 csrss.exe ejecutándose en el sistema, usando 1700 kb - 2156 kb de memoria cada uno. Relacionados con ellos parece haber 2 conhost.exes, uno que usa aproximadamente 1000 kb de RAM y 1400 kb. Uno es SISTEMA y el otro es RED. Encontré 2 csrss.exes en mi sistema, uno en system32, uno en winsxs/amd64_microsoft (con una gran cantidad de números). Encontré 1 conhost en system32 y 8 conhosts en winsxs/amd64_microsoft seguidos de números como csrss. ¿Esto es normal? Es posible que también haya visto un tercer conhost ejecutándose, pero no creo que estuviera adjunto a csrss.
Usando los registros del visor de eventos y el explorador de procesos, encontré los 2 archivos conhost en csrss, que se iniciaron (en mi prueba) a las 15:33:52. Al mismo tiempo, en el visor de eventos del sistema, el servicio MBAM entró en estado de ejecución. Además, el servicio del servidor entró en estado de ejecución. Otros servicios que comenzaron alrededor de uno o dos segundos después: Servicio de lista de redes Host de servicio de diagnóstico Acceso al dispositivo de interfaz humana Inspección de red de Micrsoft Host del sistema de diagnóstico Enumerador de dispositivos portátiles Servicio de navegador de computadora No había ninguna entrada en la parte de la aplicación del visor de eventos. Bajo seguridad, a las 15:33:52 había una entrada para:
Éxito de la auditoría: una cuenta ha iniciado sesión correctamente. ID del sujeto: null sid (Más abajo en la misma entrada)
Nuevo inicio de sesión: ID de seguridad: inicio de sesión anónimo Nombre de cuenta: inicio de sesión anónimo Dominio de la cuenta: autoridad nt
Y hay varias secciones más de esa entrada. ¿Es esto malo? Encontré varias de esas entradas de inicio de sesión anónimas desde el día en que compré mi PC hace un año, así que no creo que sea malo. Otra computadora en la casa tiene la misma cantidad de archivos conhost y csrss.exe en el disco duro (alrededor de 8-9, en las carpetas de instalación amd64, y la que se ejecuta en system32, y los archivos csrss. La otra computadora tenía 2 procesos csrss ejecutándose pero sin conhost) ¿Se ve mal o está bien? Voy a ejecutar algunos análisis en modo seguro. (Mbam y mse). Los escaneos han salido limpios.
Aquí hay una imagen de cuando ejecuto la experiencia Geforce, este conhost aparece y se apaga muy rápidamente.
Respuesta1
Cada vez que vea ConHost.exe, significa que se está ejecutando un programa que no es GUI. Esto sucede cuando abre el símbolo del sistema o cuando el instalador de una aplicación necesita ejecutar un comando estándar "DOS" como parte de la rutina de instalación. Es muy normal que el proceso ConHost.exe vaya y venga, y solo debería ser motivo de preocupación si tiene muchas (20-30+) instancias durante más de unos pocos momentos. Además, es bastante apropiado que observe la actividad de inicio/detención de programas y servicios en conexión con el inicio y la detención de los procesos ConHost.exe, ya que es en estos momentos del ciclo de vida de un programa cuando a menudo necesitarán interactuar con una interfaz que no sea GUI. solicitud.
Si desea profundizar más, el artículohttp://blogs.technet.com/b/askperf/archive/2009/10/05/windows-7-windows-server-2008-r2-console-host.aspxexplica la nueva incorporación (a partir de Windows 7) que es ConHost.exe y el problema que pretende resolver::
En versiones anteriores de Windows [es decir, anteriores a Windows 7], toda la actividad de la GUI en nombre de aplicaciones sin GUI que se ejecutaban en el escritorio (aplicaciones de consola) era gestionada por el proceso del sistema CSRSS.exe.
Si sabe mucho sobre cómo Windows maneja la separación de privilegios entre usuarios, es posible que vea correctamente una debilidad potencial; confírmela a medida que continúa el artículo:
El problema con esto era que incluso si una aplicación se ejecutaba en el contexto de la cuenta de un usuario normal, CSRSS.EXE se ejecuta en la cuenta del sistema local. Por lo tanto, en determinadas circunstancias, era posible que el malware explotara las debilidades de una aplicación para ejecutar código en la cuenta del sistema local más privilegiada en CSRSS.EXE.
Windows 7 cambió permanentemente ese modelo al introducir el proceso ConHost.exe:
Esta exposición se solucionó en Windows 7 y Windows Server 2008 R2 ejecutando el código de mensajería de la consola en el contexto de un nuevo proceso, ConHost.exe. ConHost (host de consola) se ejecuta en el mismo contexto de seguridad que su aplicación de consola asociada. En lugar de emitir una solicitud LPC a CSRSS para el manejo de mensajes, la solicitud va a ConHost.
¡Espero que ayude!
EDITAR:
Dos instancias de csrss.exe no son anormales. He observado esto muchas veces en computadoras que se sabe que están limpias. Si ustednoSi tiene dos instancias en ejecución, simplemente inicie CMD.EXE y probablemente terminará con una segunda instancia de csrss.exe que aloja una instancia secundaria de conhost.exe.
En su caso, no veo ninguna evidencia de que sea un motivo malicioso para la segunda instancia de csrss.exe o las múltiples instancias de conhost.exe.