Atualmente tenho 2 csrss.exe em execução no sistema, usando 1700kb - 2156kb de memória cada. Relacionado a eles, parece haver 2 conhost.exes, um usando aproximadamente 1000kb de RAM e 1400kb. Um é SISTEMA e o outro é REDE. Encontrei 2 csrss.exes em meu sistema, um em system32, um em winsxs/amd64_microsoft (com uma grande quantidade de números). Encontrei 1 conhost em system32 e 8 conhosts em winsxs/amd64_microsoft seguido por números como csrss. Isso é normal? Também posso ter visto um terceiro conhost em execução, mas não acho que estivesse anexado ao csrss
usando logs do visualizador de eventos e explorador de processos, encontrei os 2 arquivos conhost em csrss, foram iniciados (em meu teste) às 15:33:52. Ao mesmo tempo, no visualizador de eventos no sistema, o serviço MBAM entrou em estado de execução. Além disso, o serviço do servidor entrou em estado de execução. Outros serviços iniciados cerca de um ou dois segundos depois: Serviço de lista de rede Host de serviço de diagnóstico Acesso a dispositivo de interface humana Inspeção de rede Micrsoft Host de sistema de diagnóstico Enumerador de dispositivo portátil Serviço de navegador de computador Não houve entrada na parte do aplicativo do visualizador de eventos. Sob segurança, às 15h33min52s houve entrada para:
Sucesso na auditoria: uma conta foi conectada com sucesso. ID do assunto: null sid (mais abaixo na mesma entrada)
Novo logon: ID de segurança: logon anônimo Nome da conta: logon anônimo Domínio da conta: autoridade nt
E há várias outras seções dessa entrada. Isso é ruim? Encontrei várias dessas entradas de logon anônimas desde o dia em que comprei meu PC, há um ano, então não acho que seja ruim. Outro pc da casa tem a mesma quantidade de arquivos conhost e csrss.exe no disco rígido (cerca de 8-9, nas pastas de instalação amd64, e aquele que roda no system32, e os arquivos csrss. O outro pc tinha 2 processos csrss correndo, mas sem conhost.) Parece ruim ou bom? Vou executar algumas verificações no modo de segurança. (Mbam e mse). As varreduras foram limpas.
aqui está uma imagem de quando executo o Geforce Experience, esse conhost aparece e desliga muito rapidamente.
Responder1
Sempre que você vir ConHost.exe, significa que um programa não GUI está sendo executado. Isso acontece quando você abre o prompt de comando ou quando um instalador de aplicativo precisa executar um comando “DOS” padrão como parte da rotina de instalação. É muito normal que o processo ConHost.exe vá e venha e só deve ser motivo de preocupação se você tiver muitas (20-30+) instâncias por mais de alguns momentos. Além disso, é bastante apropriado que você observe a atividade de início/parada de programas e serviços em conexão com os processos ConHost.exe iniciando e parando, pois é nesses momentos do ciclo de vida de um programa que eles geralmente precisam interagir com uma interface não GUI. aplicativo.
Se você quiser se aprofundar mais, o artigohttp://blogs.technet.com/b/askperf/archive/2009/10/05/windows-7-windows-server-2008-r2-console-host.aspxexplica a nova adição (a partir do Windows 7) que é ConHost.exe e o problema que ele pretende resolver::
Nas versões anteriores do Windows [isto é, antes do Windows 7], todas as atividades da GUI em nome de aplicativos não GUI executados na área de trabalho (aplicativos de console) eram intermediadas pelo processo do sistema CSRSS.exe.
Se você sabe muito sobre como o Windows lida com a separação de privilégios entre usuários, poderá ver corretamente um ponto fraco em potencial, confirme conforme o artigo continua:
O problema com isso é que mesmo que um aplicativo seja executado no contexto de uma conta de usuário normal, o CSRSS.EXE é executado na conta do Sistema Local. Portanto, era possível, em certas circunstâncias, que o malware explorasse os pontos fracos de um aplicativo para executar código na conta mais privilegiada do Sistema Local em CSRSS.EXE.
O Windows 7 mudou permanentemente esse modelo introduzindo o processo ConHost.exe:
Essa exposição foi resolvida no Windows 7 e no Windows Server 2008 R2 executando o código de mensagens do console no contexto de um novo processo, ConHost.exe. ConHost (Console Host) é executado no mesmo contexto de segurança que seu aplicativo de console associado. Em vez de emitir uma solicitação LPC ao CSRSS para tratamento de mensagens, a solicitação vai para o ConHost.
Espero que ajude!
EDITAR:
Duas instâncias de csrss.exe não são anormais. Já observei isso muitas vezes em computadores sabidamente limpos. Se vocênãoSe você tiver duas instâncias em execução, basta iniciar o CMD.EXE e provavelmente terá uma segunda instância do csrss.exe hospedando uma instância filha do conhost.exe.
No seu caso, não vejo nenhuma evidência de que seja um motivo malicioso para a segunda instância de csrss.exe ou para as múltiplas instâncias de conhost.exe.