conhost.exeとは何ですか?なぜ実行されているのですか?

タスクマネージャーのコンソールウィンドウホスト(conhost.exe)プロセスに出くわし、それが何であるか疑問に思っているので、この記事を読んでいることは間違いありません。私たちはあなたのための答えを持っています。

関連:このプロセスとは何ですか?なぜそれが私のPCで実行されているのですか?

この記事は、svchost.exe、dwm.exe、ctfmon.exe、mDNSResponder.exe、rundll32.exe、Adobe_Updater.exeなど、タスクマネージャーにあるさまざまなプロセスを説明する継続的なシリーズの一部です。それらのサービスが何であるかわからないのですか?読み始めたほうがいいです!

では、コンソールウィンドウのホストプロセスとは何ですか?

コンソールウィンドウホストプロセスを理解するには、少しの履歴が必要です。Windows XPの時代には、コマンドプロンプトは、ClientServerランタイムシステムサービス(CSRSS)という名前のプロセスによって処理されていました。名前が示すように、CSRSSはシステムレベルのサービスでした。これにより、いくつかの問題が発生しました。まず、CSRSSがクラッシュすると、システム全体がダウンする可能性があり、信頼性の問題だけでなく、セキュリティの脆弱性も露呈する可能性があります。2番目の問題は、開発者がテーマコードをシステムプロセスで実行するリスクを冒したくないため、CSRSSにテーマを設定できないことでした。そのため、コマンドプロンプトは、新しいインターフェイス要素を使用するのではなく、常にクラシックな外観でした。

以下のWindowsXPのスクリーンショットでは、コマンドプロンプトがメモ帳のようなアプリと同じスタイルにならないことに注意してください。

関連:デスクトップウィンドウマネージャー(dwm.exe)とは何ですか?なぜ実行されているのですか?

Windows Vistaでは、デスクトップウィンドウマネージャーが導入されました。これは、個々のアプリが独自に処理するのではなく、ウィンドウの複合ビューをデスクトップに「描画」するサービスです。コマンドプロンプトは、これから表面的なテーマ(他のウィンドウにあるガラスのフレームなど)を取得しましたが、ファイルやテキストなどをコマンドプロンプトウィンドウにドラッグアンドドロップできるという犠牲を払っていました。

それでも、そのテーマはこれまでに過ぎませんでした。Windows Vistaのコンソールを見ると、他のすべてと同じテーマを使用しているように見えますが、スクロールバーがまだ古いスタイルを使用していることがわかります。これは、Desktop Window Managerがタイトルバーとフレームの描画を処理しますが、昔ながらのCSRSSウィンドウがまだ内部にあるためです。

Windows7とコンソールウィンドウホストプロセスに入ります。名前が示すように、コンソールウィンドウのホストプロセスです。このプロセスは、CSRSSとコマンドプロンプト(cmd.exe)の中間に位置し、Windowsが以前の問題の両方を修正できるようにします。スクロールバーなどのインターフェイス要素は正しく描画され、コマンドプロンプトにドラッグアンドドロップできます。そして、それはWindows 8と10でまだ使用されている方法であり、Windows7以降に登場したすべての新しいインターフェイス要素とスタイルを可能にします。

タスクマネージャはコンソールウィンドウホストを個別のエンティティとして表示しますが、それでもCSRSSと密接に関連しています。プロセスエクスプローラーでconhost.exeプロセスを確認すると、実際にはcsrss.eseプロセスで実行されていることがわかります。

結局のところ、コンソールウィンドウホストは、CSRSSのようなシステムレベルのサービスを実行する能力を維持しながら、最新のインターフェイス要素を統合する機能を安全かつ確実に付与するシェルのようなものです。

実行中のプロセスのインスタンスがいくつかあるのはなぜですか?

タスクマネージャーで実行されているコンソールウィンドウホストプロセスのインスタンスがいくつか表示されることがよくあります。実行中のコマンドプロンプトの各インスタンスは、独自のコンソールウィンドウホストプロセスを生成します。さらに、コマンドラインを使用する他のアプリは、アクティブなウィンドウが表示されていない場合でも、独自のコンソールWindowsホストプロセスを生成します。この良い例は、バックグラウンドアプリとして実行され、コマンドラインを使用してネットワーク上の他のデバイスで利用できるようにするPlex MediaServerアプリです。

多くのバックグラウンドアプリはこのように機能するため、コンソールウィンドウホストプロセスの複数のインスタンスが常に実行されているのを見るのは珍しいことではありません。これは正常な動作です。ほとんどの場合、各プロセスは、プロセスがアクティブでない限り、メモリをほとんど使用せず(通常、10 MB未満)、CPUをほとんど使用しません。

とはいえ、コンソールウィンドウホストの特定のインスタンス(または関連するサービス)がCPUやRAMの継続的な過剰使用などの問題を引き起こしていることに気付いた場合は、関連する特定のアプリをチェックインできます。これで、少なくともトラブルシューティングをどこから始めればよいかがわかるかもしれません。残念ながら、タスクマネージャ自体はこれに関する適切な情報を提供していません。幸いなことに、Microsoftは、Sysinternalsラインナップの一部として、プロセスを操作するための優れた高度なツールを提供しています。Process Explorerをダウンロードして実行するだけです。これはポータブルアプリなので、インストールする必要はありません。Process Explorerは、あらゆる種類の高度な機能を提供します。詳細については、ProcessExplorerを理解するためのガイドを読むことを強くお勧めします。

関連:「ポータブル」アプリとは何ですか、なぜそれが重要なのですか?

Process Explorerでこれらのプロセスを追跡する最も簡単な方法は、最初にCtrl + Fを押して検索を開始することです。「conhost」を検索し、結果をクリックします。これを行うと、メインウィンドウが変更され、コンソールウィンドウホストの特定のインスタンスに関連付けられているアプリ(またはサービス)が表示されます。

CPUまたはRAMの使用量が、これが問題の原因となっているインスタンスであることを示している場合は、少なくとも特定のアプリに絞り込んでいます。

このプロセスはウイルスである可能性がありますか?

プロセス自体は、公式のWindowsコンポーネントです。ウイルスが実際のコンソールウィンドウホストを独自の実行可能ファイルに置き換えた可能性はありますが、その可能性はほとんどありません。確認したい場合は、プロセスの基になるファイルの場所を確認できます。タスクマネージャーで、任意のサービスホストプロセスを右クリックし、[ファイルの場所を開く]オプションを選択します。

ファイルがWindows\System32フォルダに保存されている場合は、ウイルスに対処していないことをかなり確信で​​きます。

実際、コンソールウィンドウのホストプロセスを装ったConhostMinerという名前のトロイの木馬があります。タスクマネージャーでは、実際のプロセスと同じように見えますが、少し掘り下げると、実際には%userprofile%\AppData\Roaming\Microsoftフォルダーではなくフォルダーに保存されていることがわかりWindows\System32ます。トロイの木馬は実際にPCを乗っ取ってビットコインをマイニングするために使用されるため、システムにインストールされている場合に気付く他の動作は、メモリ使用量が予想よりも高く、CPU使用率が非常に高いレベル(多くの場合、 80%)。

関連:Windows 10に最適なアンチウイルスは何ですか?(Windows Defenderで十分ですか?)

もちろん、優れたウイルススキャナーを使用することは、Conhost Minerのようなマルウェアを防止(および削除)するための最良の方法であり、とにかく実行する必要があります。転ばぬ先の杖!