Foro de elhacker.net

Sistemas Operativos => Windows => Mensaje iniciado por: chelo87_ec en 30 Mayo 2013, 04:02 am


Título: Archivo conhost.exe
Publicado por: chelo87_ec en 30 Mayo 2013, 04:02 am
He leido sobre el ejecutable conhost.exe y según las diferentes fuentes que visité, es
un archivo de consola para el host, de sistema y por ende, confiable; sin embargo igual me dio un poco de desconfianza ver que tenía en el administrador de tareas como 10 iteraciones de conhost y no tenía abierta ninguna ventana de terminal o cmd.

Por favor alguien que me pueda dar algún indicio que pudo haber pasado o si hay la posibilidad que algún virus se camufle como este proceso o que múltiples iteraciones de conhost sean signo que algo más está sucediendo en mi pc de forma transparente?

Gracias de antemano y si esta pregunta estuviera mejor en otra sección por favor redirigirla.

Título: Re: Archivo conhost.exe
Publicado por: #!drvy en 30 Mayo 2013, 04:31 am
Teóricamente mientras se ejecute desde system32 es seguro. De todos modos, si te quieres asegurar usa un explorador de procesos (http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx) mas avanzado y mira a ver si proviene de csrss.exe

(http://cdn.howtogeek.com/wp-content/uploads/2009/10/image9.png)


Saludos

Título: Re: Archivo conhost.exe
Publicado por: chelo87_ec en 30 Mayo 2013, 07:23 am
Listo, ya instale esa aplicación y en la próxima vez que vea varios procesos conhost me aseguraré si son hijos del proceso csrss.exe, aunque no entiendo todavía el hecho que yo no haya tenido ninguna consola abierta de cms para pings, telnet, etc, y aún así hayan parecido tantas iteraciones del conhost, sabes por qué se produjo?

Otra cosa por favor, cómo posteo una imagen acá, cuando pongo la opción de insertar imagen me aparece "(http://)" pero no sé que sigue jeje

Ya les aviso cómo me va con ese proceso la siguiente vez que lo vea y gracias por responderme

Título: Re: Archivo conhost.exe
Publicado por: #!drvy en 30 Mayo 2013, 07:35 am
http://i.elhacker.net - Subes tu imagen ahí, copias lo que hay en la segunda caja (una vez subida) y lo pegas aquí.

Respecto a lo otro, puede que hayas utilizado algún programa que se haga uso de una aplicación por consola. Por ejemplo pasa muchas veces con los convertidores de video / audio.

Saludos

Título: Re: Archivo conhost.exe
Publicado por: chelo87_ec en 30 Mayo 2013, 07:46 am
Muchas gracias drvy, en ese momento estaba usando el Ares y no recuerdo bien si el utorrent, google chrome, ningun convertidor de video... Y no recuerdo muy bien si tenía encendida mi máquina virtual de Ubuntu, en todo caso en ella por esos momentos estuve usando en ella la aplicación Ghex para chequear la integridad de archivos de musica y video (que no tuvieran en cabecera PE's o MZ's).

Esas aplicaciones estaba usando.... Si veo algo similar con lo del conhost postearé la imagen y muchas gracias por la ayuda

Título: Re: Archivo conhost.exe
Publicado por: chelo87_ec en 30 Mayo 2013, 21:48 pm
(http://i.elhacker.net/i?i=59eX-4zrdLbjxMpb4ZLgmGVo) (http://i.elhacker.net/d?i=59eX-4zrdLbjxMpb4ZLgmGVo)

Esa es la pantalla del explorador de procesos, como ven hay varias iteraciones de conhost.exe recién prendida la computadora y sin abrir otras aplicaciones. Son hijos del proceso padre csrss.exe; y en uno d elos conhost hice click derecho y en la ventana de las propiedades aparecía lo siguiente:

(http://i.elhacker.net/i?i=ZipDS-RqZecI7pYzVCjpa2Vo) (http://i.elhacker.net/d?i=ZipDS-RqZecI7pYzVCjpa2Vo)

No se si se pueda ver en algún lado qué aplicación "llamó" a los procesos csrss o conhost??

Si les sirve de algo, aparte de los programas usuales, tengo instalado el sdk de android para simular dispositivos android, virtual box donde ejecuto mvs de Linux, Ares, utorrent, cinema 4d, atube catcher, WhatsUp Gold (con windows server inrtegrado) programa de monitoreo para redes LAN... Gracias de antemano cualquier ayuda extra

Título: Re: Archivo conhost.exe
Publicado por: chelo87_ec en 31 Mayo 2013, 06:17 am
Creo que ya di con el asunto... Al agregar la columna inferior se puede ver que procesos originaron la instancia de conhost. Efectivamente el programa whatsup gold originó todas esas aplicaciones de consola, una de ellas en la figura... De todas formas, el haber tenido esa inquietud me llevo a aprender algo nuevo y gracias a la ayuda prestada.

(http://i.elhacker.net/t?i=a1OBijW-AZUEZ_90LuQ6QmVo) (http://i.elhacker.net/d?i=a1OBijW-AZUEZ_90LuQ6QmVo)

Título: Re: Archivo conhost.exe
Publicado por: crist_andy en 16 Julio 2013, 17:45 pm
hola,

mira es un proceso de windows pero si quieres estar mas seguro esta es la clave del proceso,
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command

pero si tienes mas dudas pues ingresa aqui http://www.elarchivo.es/proceso/conhost.exe.html , o a la pagina de microsot que es http://search.microsoft.com/es-ES/results.aspx?q=conhost.exe&x=-937&y=-169
 ::)


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines