Conhost.exe. Что за процесс: системная служба или вирус?
Наверное, в мире нет ни одного пользователя операционных систем Windows, который хоть когда-нибудь не запускал бы «Диспетчер задач» для завершения какого-то зависшего приложения или для просмотра производительности компьютера. Вот только иногда в дереве активных в данный момент процессов многие пользователи обращают внимание на присутствие в списке некой службы в виде исполняемого файла conhost.exe. Что за процесс «висит» в системе, толком особо никто не разбирается, считая его вирусом (особенно если он запущен многократно). Действительно, он может быть угрозой, но не всегда.
Conhost.exe: что за процесс наблюдается в «Диспетчере задач»?
Прежде всего нужно разобраться, что собой представляет данный процесс и отвечающий за него исполняемый файл.
Сам процесс относится к системным службам Windows и появился еще в Windows XP. Он отвечает за открытие консольных окон вроде командной строки или PowerShell. Основное его предназначение – открытие окна консоли с применением оформления, заданного для текущей темы, установленной для всех графических элементов, в частности для окон.
Для чего нужная служба conhost.exe?
Чтобы было понятнее, рассмотрим все ту же Windows XP. Вероятно, многие обращали внимание, что при установленной по умолчанию теме окна всех программ имеют одинаковое оформление, например в виде объемной синей шапки сверху.
Но вот когда вызывается та же командная строка, окно выглядит иначе (в стандартном оформлении старых систем). Чтобы окно имело вид текущей темы, и был разработан системный компонент conhost.exe. Окно консоли узла при срабатывании самого исполняемого файла открывается именно в том виде, в каком представлены все остальные окна.
Однако самая главная проблема изначально состояла в том, что эта служба в XP была явно недоработана, из-за чего окна открывались не в том виде, а иногда даже наблюдалось зависание всей системы. В «Висте» служба была модифицирована, хотя и работала с приоритетом рангом ниже, нежели компонент scrss.exe, который в XP изначально отвечал за оформление консольных окон. Но и здесь наблюдалось множество проблем.
И только начиная с седьмой модификации служба была переработана кардинально. Несмотря на то что ее приоритет вызова и исполнения сохранился между уровнями scrss и cmd, консольные окна при вызове соответствующих программ стали выглядеть как положено (например, в оформлении темы Aero).
Можно ли отключить службу?
Такова вкратце служба conhost.exe. Что за процесс перед нами, думается, немного понятно. Теперь несколько слов о том, можно ли отключить этот процесс.
Вообще, делать этого не рекомендуется, собственно, как для всех остальных системных компонентов. Впрочем, если вас не смущает вид окон без применения оформления, установленного для текущей темы, процесс можно отключить (завершить в «Диспетчере задач»). Заметьте, служба только отключается, и то на время. Удалить ее, даже обладая полным набором администраторских прав, невозможно (если только это не вирус). Система попросту не даст этого сделать, и абсолютно все сторонние средства окажутся бессильны. К тому же стартует процесс исключительно при запуске консольных окон, а при их отсутствии или в моменты бездействия системы в «Диспетчере задач» его нет. Да и на быстродействие компьютера эта служба особо влияния не оказывает.
Вирус conhost.exe: проверка расположения файла программы
Совершенно иная ситуация – когда в том же «Диспетчере задач» в дереве активных процессов наблюдается появление нескольких одноименных служб (по крайней мере, более двух). Это уже явный намек на присутствие в системе вирусов, которые под эту службу и маскируются. А если там присутствует еще и компонент engine.exe, все – жди неприятностей! Это – точно вирус. Но даже присутствие только одного процесса может свидетельствовать о проникновении в систему угрозы в виде вредоносных исполняемых кодов. Чаще всего это относится к троянам.
Чтобы удостовериться, что процесс является системным (или вирусным), в «Диспетчере задач», используя вкладку процессов, через меню ПКМ нужно выбрать строку открытия местоположения файла. Оригинальный файл conhost.exe всегда расположен в системной папке System32 основной директории операционной системы. Если же указана отличная от этой локация, необходимо срочно принимать меры.
Проверка на предмет наличия угроз
Теперь посмотрим, как удалить conhost.exe. В принципе, ничего особо сложного здесь нет. Однако следует учесть некоторые нюансы. Прежде всего в самом «Диспетчере задач» нужно завершить все одноименные процессы. Даже если в этот момент будет оставлена оригинальная служба, ничего страшного (при рестарте она запустится снова в автоматическом режиме).
После этого необходимо использовать какой-нибудь мощный сканер, желательно портативного типа (например, Dr. Web CureIt! или KVRT). Запускать углубленное сканирование с применением уже установленного антивируса выглядит нецелесообразным, хотя бы по причине того, что он уже пропустил угрозу.
Однако, как показывает практика, наиболее действенным методом удаления такой напасти станет использование специальных дисковых программ вроде Kaspersky Rescue Disk или аналогов от других разработчиков, специализирующихся на антивирусной защите. Преимущество таких утилит состоит в том, что они имеют собственный загрузчик, и при записи на съемный носитель можно загрузиться именно с него еще до старта основной ОС. В приложении можно использовать графический интерфейс или DOS-режим. Далее нужно просто проверить всю систему, установив параметр углубленного сканирования и дождаться завершения процесса. При этом могут быть определены даже те вирусы, которые очень глубоко интегрированы в систему или даже постоянно находятся в оперативной памяти.
Вместо итога
Такова служба conhost.exe. Что за процесс происходит в системе при открытии консолей, уже понятно, равно как и то, что служба при многократном запуске может оказаться вредоносным элементом. Собственно, избавиться от такого вируса труда не составит. Необходимо просто подобрать оптимальную утилиту для проверки и удаления угрозы.