Conhost.exe - системний процес або вірус?

Кожен користувач сучасної Windows-системи так чи інакше в процесі роботи викликає Диспетчер завдань, де відображаються всі запущені програми, служби та процеси. Багато звертають увагу на системний компонент під назвою conhost.exe. Що це таке, і навіщо взагалі потрібна ця служба, зараз і буде розглянуто.

Що таке conhost.exe в диспетчері завдань?

Для непосвячених користувачів відзначимо відразу, що ця системна служба обов`язкова для включення. Вперше вона з`явилася в Windows Vista, доповнивши процес csrss.exe, який спочатку був присутній в «експішке».

Відео: Що таке svchost.exe, як знайти і вбити лже - svchost.exe

Якщо говорити про те, що собою являє процес conhost.exe, простою мовою, слід відзначити, що він відповідає за виправлення давньої проблеми, пов`язаної з промальовуванням консольних вікон (наприклад, вікна командного рядка, схожого на те, що раніше було в DOS-системах ).

Відео: Svchost.exe | Як прибрати? | Ізі катка ....

Аналог в Windows XP

Для початку розглянемо улюблену багатьма Windows XP. Може бути, деякі користувачі помічали, що при використанні певної теми оформлення, відмінною від тієї, яка встановлена за замовчуванням, консольне вікно завжди виглядає в класичному «експішном» вигляді.

Відео: How do I remove Multiple dllhost.exe * 32 COM Surrogate virus (DllHost.exe virus removal)

Справа в тому, що промальовування вікна покладалася на саму систему (за це відповідав вищевказаний процес csrss.exe). Таким чином, змінити вид вікна, щоб воно відповідало поточним оформлення, було неможливо.

Проблеми в Windows Vista

Для зміни такої ситуації в «Вісті» була використана нова служба, за запуск якої відповідав системний файл conhost.exe. Процес хоч і працював з більш низьким пріоритетом, ніж csrss.exe, проте в більшості випадків виправляв зовнішній вигляд вікна.

Однак, як вже говорилося вище, сама служба виявилася недопрацьованою, в результаті чого вікна мали старий вигляд. Крім того, в «Вісті», хоча це і було задумано спочатку, була відсутня можливість перетягування файлу в консольне вікно зі стандартного Провідника, оскільки він не мав високих привілеїв у порівнянні з батьківським процесом.

Зміни в Windows 7 і вище

Починаючи з сьомої версії Windows служба conhost.exe зазнала кардинальних змін. Хоча вона як і раніше в дереві пріоритету процесів знаходиться між csrss.exe і cmd.exe, проте дозволяє вивести на екран консольне вікно в такому вигляді, який відповідає встановленій темі.

Головне зміна торкнулася того, що тепер можна було вставляти файли з Провідника, наприклад, прямо у вікно командного рядка, що видавало на екрані повний шлях до вказаного файлу, позбавляючи користувача від необхідності його введення в ручному режимі.

У більшості випадків сама служба conhost.exe працює виключно з законом командного рядка. Хоча сьогодні можна знайти чимало додатків, які в певній мірі можуть зажадати доступ до консольних вікон, їх спрацьовування займає всього кілька секунд, а поява викликається кону відбувається автоматично без участі користувача. Тобто, наприклад, на певному етапі установки програми на крані з`являється віконце, в якому виробляються якісь дії, а після закінчення процесу вікно самостійно зникає, що позбавляє користувача від необхідності його закриття вручну.

Служба conhost.exe запускається багаторазово: як лікувати?

Тепер розглянемо можливі проблеми, які можуть виникнути в разі автономної роботи цього системного модуля. Виконуваний файл знаходиться в папці System32 головною директорії Windows. Неважко здогадатися, що якщо служба запущена саме за допомогою цього файлу, нічого потенційно небезпечного в ній немає, і завершувати її примусово не рекомендується ні в якому разі.

Відео: Virus.Win9x.CIH - removal process

Але буває і таке, що в тому ж диспетчері завдань з`являється відразу кілька однойменних процесів. Що це означає? Та тільки те, що в систему проник вірус, який таким найпростішим чином виробляє власну маскування під системну службу. А адже багато користувачів просто не знають, який саме процес потрібно завершити, якщо раптом спостерігаються проблеми з підвищеним навантаженням на системні ресурси саме через це компонента. До того ж якщо всі ці процеси відключати послідовно, нічого не вийде - віруси активуються знову.

Серед найвідоміших і найбільш потенційно небезпечних загроз, що маскуються під процес conhost.exe, сьогодні виділяють дві: Trojan: Win32 / Alureon.FM, або Backdoor: Win32 / Cycbot.B і RiskTool.Win32.BitCoinMiner.amv, або Packed.Win32. Krap.hy. Як видно з класифікації, це звичайні трояни, які націлені на відкриття доступу до системи з метою перехоплення інформації користувачів і її передачі третім особам або використання у власних цілях. У деяких випадках можливе порушення роботи системи, якраз і пов`язане з підвищеним навантаженням на центральний процесор і оперативну пам`ять.

Як від цього позбутися, думається, пояснювати особливо не потрібно. доведеться використовувати антивірусний сканер, але тільки не той, що встановлений в системі за замовчуванням (він вже пропустив вірус), а якусь портативну утиліту на зразок KVRT «Лабораторії Касперського», Dr. Web CurIt! і т. д. Якщо і вони не допоможуть, тоді слід задіяти, важку артилерію у вигляді спеціальних утиліт з загальною назвою Rescue Disk. Як вже можна здогадатися, найбільш потужними в цьому відношенні є саме продукти Kaspersky і Dr. Web. Це визнано і експертами, і рядовими користувачами.