¿Qué es conhost.exe y por qué se ejecuta en mi PC?

Si se encuentra con el proceso de Console Window Host (conhost.exe) en el Administrador de tareas y se pregunta ¿Qué es?. Bien, aquí tenemos la respuesta para usted.

conhost.exe virus

Este artículo es parte de una serie de publicaciones en curso, donde explicamos varios procesos que se encuentran en el Administrador de tareas, como svchost.exe, dwm.exe, rundll32.exe y muchos otros. ¿No sabes que son esos procesos? Mejor empiece a leer!

¿Qué es el proceso de Console Window Host (conhost.exe)?

Para comprender el proceso de Console Window Host se requiere saber algo de historia. En los días de Windows XP, el símbolo del sistema fue manejado por un proceso denominado ClientServer Runtime System Service (CSRSS). Como su nombre lo indica, CSRSS era un servicio a nivel de sistema. Esto creó un par de problemas. En primer lugar, un accidente en CSRSS podría derribar un sistema por completo, lo cual expuso no sólo los problemas de fiabilidad, sino también las posibles vulnerabilidades de seguridad. El segundo problema era que CSRSS no podía ser temático, porque los desarrolladores no querían arriesgar el código del tema para ejecutarse en un proceso del sistema. Por lo tanto, el símbolo del sistema siempre tenía el aspecto clásico en lugar de utilizar nuevos elementos de interfaz.

Observe en la captura de pantalla de Windows XP que el símbolo del sistema no tiene el mismo estilo que una aplicación como el Bloc de notas.

que es console windows host

Windows Vista presentó el Administrador de ventanas de escritorio: un servicio que “dibuja” vistas compuestas de las ventanas en su escritorio en lugar de permitir que cada aplicación se encargue de ello por sí misma. El símbolo del sistema obtuvo un tema superficial a partir de esto (como lo es el marco vidrioso presente en otras ventanas), pero se produjo a costa de poder arrastrar y soltar archivos, texto y así sucesivamente en la ventana del símbolo del sistema.

Sin embargo, ese tema por si sólo llega muy lejos. Pero, si echas un vistazo a la consola en Windows Vista, parece que utiliza el mismo tema que todo lo demás, pero te darás cuenta de que las barras de desplazamiento sigue utilizando el estilo antiguo. Esto se debe a que el Administrador de ventanas de escritorio se encarga de dibujar las barras de título y el marco, pero una ventana anticuada CSRSS  todavía se encontrara por dentro de esta misma.

console windows host windows 10

Ingrese a Windows 7 y abra el proceso de conhost.exe (Console Windows Host). Como su nombre indica, es un host para la consola de Windows. El proceso se sitúa en el medio de CSRSS y el símbolo del sistema (cmd.exe), lo que permite a Windows arreglar ambos problemas: los elementos de interfaz como barras de desplazamiento, que dibujan correctamente y que también puede arrastrar y soltar nuevamente en el símbolo del sistema. Y ese es el método que todavía se utiliza en Windows 8 y 10, permitiendo todos los nuevos elementos de interfaz y los estilos que han surgido desde Windows 7.

Aunque el Administrador de tareas presenta conhost.exe como una entidad independiente, todavía está estrechamente asociado con CSRSS. Si comprueba el proceso conhost.exe en Process Explorer, puede ver que en realidad se ejecuta debajo del proceso csrss.exe.

que es console windows host

Al final, conhost.exe (Console Window Host) es algo así como un shell que mantiene la potencia de ejecutar un servicio a nivel de sistema como CSRSS, y que a su vez asegura y hace confiable la integración de elementos modernos de interfaz.

¿Por qué hay varios Console Window Host en ejecución?

conhost exe

A menudo verá varias instancias del proceso de Console Window Host que se ejecutan en el Administrador de tareas. Cada instancia de la ejecución del símbolo del sistema generará su propio proceso de Console Window Host. Además, otras aplicaciones que utilizan la línea de comandos generarán su propio proceso de Console Window Host, aunque no vea una ventana activa para ellos. Un buen ejemplo de esto es la aplicación Plex Media Server, que se ejecuta como una aplicación de fondo y utiliza la línea de comandos para ponerse a disposición de otros dispositivos de la red.

Muchas aplicaciones de fondo funcionan de esta manera, por lo que no es raro ver varias instancias del proceso de Console Window Host en ejecución en un momento dado. Este es un comportamiento normal. En su mayor parte, cada proceso debe ocupar muy poca memoria (normalmente menos de 10 MB) y CPU casi cero a menos que el proceso esté activo.

Dicho esto, si observa que una instancia particular de Console Window Host (o que algún servicio relacionado) está causando problemas, como un consumo excesivo de CPU o RAM, puede comprobar las aplicaciones específicas que están involucradas. Eso podría por lo menos darle una idea de por dónde empezar la solución de problemas. Desafortunadamente, el Administrador de tareas en sí no proporciona buena información sobre esto. La bueno es que Microsoft ofrece una herramienta avanzada para trabajar con procesos como parte de su línea de Sysinternals. Basta con descargar Process Explorer y ejecutarlo, es una aplicación portable, por lo que no es necesario instalarla. Process Explorer proporciona todo tipo de funciones avanzadas.

La manera más fácil de rastrear estos procesos en Process Explorer es primero pulsar Ctrl + F para iniciar una búsqueda. Busque “conhost” y luego haga clic en los resultados. A medida que lo haga, verá el cambio de la ventana principal para mostrarle la aplicación (o servicio) asociada con esa instancia particular de Console Window Host.

conhost

Si el uso de la CPU o de la RAM indica que ésta es la instancia que causa problemas, por lo menos tiene reducido el problema a una aplicación determinada.

¿Podría el proceso conhost.exe ser un virus?

El proceso en sí es un componente oficial de Windows. Las posibilidades de que un virus haya reemplazado al Console Window Host real con un ejecutable propio son casi nulas. Si desea estar seguro, puede comprobar la ubicación del archivo subyacente del proceso. En el Administrador de tareas, haga clic derecho en cualquier proceso de Console Windows Host y elija la opción “Abrir ubicación de archivo”.

conhost.exe como eliminar

Si el archivo se almacena en su carpeta Windows\System32, puede estar seguro de que no se trata de un virus.

windows console

De hecho, hay un troyano llamado Conhost Miner que se disfraza del Console Window Host. En el Administrador de tareas, aparece como el proceso real, pero un poco de excavación revelará que en realidad se almacena en la carpeta% userprofile%\AppData\Roaming\Microsoft en lugar de la carpeta Windows\System32. El troyano realmente se usa para secuestrar su PC para extraer Bitcoins, por lo que el otro comportamiento que notarás si está instalado en su sistema, quiere decir que el uso de la memoria es más alto de lo que se podría esperar y el uso de la CPU se mantiene a niveles muy altos 80%).

Por supuesto, el uso de un buen antivirus es la mejor manera de prevenir (y eliminar) el malware como el Conhost Miner, y es algo que debería hacer de todos modos. ¡Más vale prevenir que lamentar!