Conhost.exe. Што за працэс: сістэмная служба ці вірус?

Напэўна, у свеце няма ніводнага карыстальніка аперацыйных сістэм Windows, які хоць калі-небудзь не запускаў бы «Дыспетчар задач» для завяршэння нейкага завіс прыкладання або для прагляду прадукцыйнасці кампутара. Вось толькі часам у дрэве актыўных у дадзены момант працэсаў многія карыстальнікі звяртаюць увагу на прысутнасць у спісе нейкай службы ў выглядзе выкананага файла conhost.exe. Што за працэс «вісіць» ў сістэме, толкам асабліва ніхто не разбіраецца, лічачы яго вірусам (асабліва калі ён запушчаны шматкроць). Сапраўды, ён можа быць пагрозай, але не заўсёды.

Conhost.exe: што за працэс назіраецца ў «Дыспетчару задач»?

Перш за ўсё трэба разабрацца, што сабой уяўляе гэты працэс і адказвае за яго выкананы файл.

Сам працэс ставіцца да сістэмных службам Windows і з'явіўся яшчэ ў Windows XP. Ён адказвае за адкрыццё кансольных вокнаў накшталт каманднага радка або PowerShell. Асноўнае яго прызначэнне - адкрыццё акна кансолі з ужываннем афармлення, зададзенага для бягучай тэмы, ўсталяванай для ўсіх графічных элементаў, у прыватнасці для вокнаў.

Для чаго патрэбная служба conhost.exe?

Каб было больш зразумела, разгледзім усё тую ж Windows XP. Верагодна, многія звярталі ўвагу, што пры ўсталяванай па змаўчанні тэме вокны ўсіх праграм маюць аднолькавае афармленне, напрыклад у выглядзе аб'ёмнай сіняй шапкі зверху.

Але вось калі выклікаецца тая ж камандны радок, акно выглядае інакш (у стандартным афармленні старых сістэм). Каб акно мела выгляд бягучай тэмы, і быў распрацаваны сістэмны кампанент conhost.exe. Акно кансолі вузла пры спрацоўванні самага выкананага файла адкрываецца менавіта ў тым выглядзе, у якім прадстаўлены ўсе астатнія вокны.

Аднак самая галоўная праблема першапачаткова складалася ў тым, што гэтая служба ў XP была відавочна недапрацаваная, з-за чаго вокны адкрываліся не ў тым выглядзе, а часам нават назіралася завісанне ўсёй сістэмы. У «Вістой» служба была мадыфікаваная, хоць і працавала з прыярытэтам рангам ніжэй, чым кампанент scrss.exe, які ў XP першапачаткова адказваў за афармленне кансольных вокнаў. Але і тут назіралася мноства праблем.

І толькі пачынаючы з сёмай мадыфікацыі служба была перапрацаваная кардынальна. Нягледзячы на тое што яе прыярытэт выкліку і выканання захаваўся паміж ўзроўнямі scrss і cmd, кансольныя вокны пры выкліку адпаведных праграм сталі выглядаць як мае быць (напрыклад, у афармленні тэмы Aero).

Ці можна адключыць службу?

Такая сцісла служба conhost.exe. Што за працэс перад намі, думаецца, трохі зразумела. Зараз некалькі слоў пра тое, ці можна адключыць гэты працэс.

Наогул, рабіць гэтага не рэкамендуецца, уласна, як для ўсіх астатніх сістэмных кампанентаў. Зрэшты, калі вас не бянтэжыць выгляд вокнаў без прымянення афармлення, устаноўленага для бягучай тэмы, працэс можна адключыць (завяршыць у «Дыспетчару задач»). Заўважце, служба толькі адключаецца, і то на час. Выдаліць яе, нават валодаючы поўным наборам адміністратарскія правоў, немагчыма (калі толькі гэта не вірус). Сістэма папросту не дасць гэтага зрабіць, і абсалютна ўсе іншыя сродкі апынуцца нямоглыя. Да таго ж стартуе працэс выключна пры запуску кансольных вокнаў, а пры іх адсутнасці або ў моманты бяздзейнасці сістэмы ў «Дыспетчару задач» яго няма. Ды і на хуткадзейнасць кампутара гэтая служба асабліва ўплыву не аказвае.

Вірус conhost.exe: праверка размяшчэння файла праграмы

Цалкам іншая сітуацыя - калі ў тым жа «Дыспетчару задач» ў дрэве актыўных працэсаў назіраецца з'яўленне некалькіх аднайменных службаў (прынамсі, больш за два). Гэта ўжо відавочны намёк на прысутнасць у сістэме вірусаў, якія пад гэтую службу і маскіруюцца. А калі там прысутнічае яшчэ і кампанент engine.exe, усе - чакай непрыемнасцяў! Гэта - дакладна вірус. Але нават прысутнасць толькі аднаго працэсу можа сведчыць аб пранікненні ў сістэму пагрозы ў выглядзе шкоднасных выкананых кодаў. Часцей за ўсё гэта ставіцца да Траянам.

Каб пераканацца, што працэс з'яўляецца сістэмным (ці вірусным), у «Дыспетчару задач», выкарыстоўваючы ўкладку працэсаў, праз меню ПКМ трэба выбраць радок адкрыцця месцазнаходжаньня файла. Арыгінальны файл conhost.exe заўсёды размешчаны ў сістэмнай тэчцы System32 асноўнай дырэкторыі аперацыйнай сістэмы. Калі ж паказаная выдатная ад гэтай лакацыя, неабходна тэрмінова прымаць меры.

Праверка на прадмет наяўнасці пагроз

Цяпер паглядзім, як выдаліць conhost.exe. У прынцыпе, нічога асабліва складанага тут няма. Аднак варта ўлічыць некаторыя нюансы. Перш за ўсё ў самім «Дыспетчару задач» трэба завяршыць усе аднайменныя працэсы. Нават калі ў гэты момант будзе пакінута арыгінальная служба, нічога страшнага (пры рестарте яна запусціцца зноў у аўтаматычным рэжыме).

Пасля гэтага неабходна выкарыстоўваць якой-небудзь магутны сканер, пажадана партатыўнага тыпу (напрыклад, Dr. Web CureIt! Ці KVRT). Запускаць паглыбленае сканіраванне з ужываннем ўжо ўсталяванага антывіруса выглядае немэтазгодным, хоць бы па прычыне таго, што ён ужо прапусціў пагрозу.

Аднак, як паказвае практыка, найбольш дзейсны метад выдалення такой пошасці стане выкарыстанне спецыяльных дыскавых праграм накшталт Kaspersky Rescue Disk або аналагаў ад іншых распрацоўнікаў, якія спецыялізуюцца на антывіруснай абароне. Перавага такіх утыліт складаецца ў тым, што яны маюць уласны загрузнік, і пры запісе на здымны носьбіт можна загрузіцца менавіта з яго яшчэ да старту асноўнай АС. У дадатку можна выкарыстоўваць графічны інтэрфейс або DOS-рэжым. Далей трэба проста праверыць усю сістэму, усталяваўшы параметр паглыбленага сканавання і дачакацца завяршэння працэсу. Пры гэтым могуць быць вызначаны нават тыя вірусы, якія вельмі глыбока інтэграваныя ў сістэму або нават увесь час знаходзяцца ў аператыўнай памяці.

замест выніку

Такая служба conhost.exe. Што за працэс адбываецца ў сістэме пры адкрыцці кансоляў, ужо зразумела, роўна як і тое, што служба пры шматразовым запуску можа апынуцца шкоднасным элементам. Уласна, пазбавіцца ад такога віруса працы не складзе. Неабходна проста падабраць аптымальную ўтыліту для праверкі і выдалення пагрозы.