O Conhost executa serviços de console para janelas do console. Ele é responsável por desenhar a janela do console e gerenciar a entrada / saída para o aplicativo de console (normalmente invisível).
Mesmo que você não tenha nenhuma janela do console aberta, provavelmente será apenas uma janela de console em outro desktop ou um processo de zumbi que você está vendo - na operação normal do Windows, o conhost.exe é sempre iniciado a partir do csrss.exe que é um processo do sistema - e este é o caso em sua imagem, que sugere que osexplore.exes são genuínos.
Se você estiver particularmente preocupado com a possibilidade de malware estar aparecendo como um malware, a melhor coisa a fazer é abrir o Gerenciador de Tarefas, navegar até a guia "Processos", clicar com o botão direito do mouse no processo que você está preocupado e selecionar "Abrir localização de arquivos".
Na janela do explorador que se abre, clique com o botão direito do mouse no aplicativo e clique em "Exibir propriedades" e procure por uma guia "Assinaturas digitais". Todos os executáveis da Microsoft terão uma Assinatura Digital que verifique se o aplicativo é genuíno da Microsoft, e forjar uma Assinatura Digital é no mínimo tão difícil quanto descriptografar uma sessão SSL entre você e seu banco, assim você pode ter certeza de que o executável é genuíno.
Em resposta à segunda parte da sua pergunta, o grande número que está sendo passado para o conhost como argumento é um ID de sessão que informa ao conhost.exe qual aplicativo de console deve ser renderizado na tela - essencialmente é o ID do aplicativo de console a ser conectar a. Os detalhes precisos do número são específicos do csrss, que interliga a comunicação entre o aplicativo de console e o conhost.exe.