Conhost.exe: что это - системный процесс или вирус?

Достаточно часто пользователям всех уровней подготовки приходится запускать «Диспетчер задач» (в Windows 7, например). Большинство рядовых юзеров на активные процессы внимания обычно не обращает, но когда дело доходит до нагрузки на процессор и оперативную память, они пытаются выяснить, что так сильно влияет на ресурсы. А в «Диспетчере» отображается масса непонятных процессов, одним из которых можно назвать conhost.exe. Что это за служба, и за что она отвечает, далее и будет показано. Попутно обратим внимание и на то, что это может быть и вирус. Как его нейтрализовать, рассмотрим отдельно.

Процесс conhost.exe: что это такое?

Вообще, этот активный процесс к вирусам не относится, а является очень важной системной службой, которая предназначена для так называемой прорисовки консольных окон.

Если вспомнить более ранние системы Windows, которые вышли еще до появления модификации ХР, в них та же консоль cmd (командная строка) отображалась в виде такого себе DOS-подобного окна в стандартном оформлении. В версии ХР разработчики попытались исправить эту проблему. Суть состоит в том, чтобы консольное окно имело оформление, соответствующее текущей теме.

Имеется в виду вот что. Например, в Windows ХР все окна программ имеют характерную объемную шапку синего цвета. При вызове той же командной строки окно стало выглядеть точно так же, как и у всех остальных приложений, а не в стандартном оформлении, а-ля Windows 95. Вот как раз за это и отвечает служба conhost.exe. Что это такое, немного понятно. Идем дальше.

История появления

Действительно, впервые этот процесс появился именно в Windows XP. Несмотря на достаточно интересную задумку, нововведение оказалось весьма недоработанным.

Сами консольные окна не всегда имели тот вид, который предполагался, а служба иногда даже «вылетала», вызывая критические ошибки, из-за чего и вся система становилась совершенно неработоспособной (бывали случаи, когда требовалась даже переустановка). Да и нагрузка на системные ресурсы в то время была совершенно неоправданной, поскольку процесс изначально запускался вместе с системой, да еще и использовал ресурсы при вызове консолей. От этого надо было как-то избавляться.

Недоработки в Windows Vista

Модификация Vista недалеко ушла от ХР. Хотя в самой службе было исправлено множество ошибок и запускаемые окна имели именно вид, соответствующий установленной в данный момент теме оформления, тем не менее работать с той же командной строкой, как это предполагается сейчас, было невозможно.

Имеется в виду, что все команды или, например, пути файлов нужно было прописывать исключительно вручную. Ни о каком копировании или вставке и речи не было.

Переработанная служба в Windows 7 и выше

А вот в Windows 7 служба поменялась кардинально. Мало того, что она практически никогда не давала сбоев, не говоря уже о нормальном виде консольных окон, теперь стало возможно, например, для указания полного пути к какому-то объекту не вводить данные вручную, а просто перетащить его в окно той же командной строки. За это тоже отвечает служба conhost.exe. Что это за инструмент касательно вводимых команд?

А вот что: их можно совершенно элементарно скопировать, скажем, из «Блокнота» или с интернет-сайта, а затем вставить в консоль для выполнения.

Что делать, если это все же вирус?

В целом, думается, понятно, за что отвечает описываемый системный процесс. Все бы хорошо, но со времени его появления в Windows-системах активно стали развиваться и разного рода вирусные угрозы, которые при проникновении на компьютер маскируются именно под него. Пользователь считает, что «Диспетчер задач» Windows 7, например, показывает именно системный процесс, причем с теми же атрибутами, а на самом деле это активная служба самого вируса, который в данный момент производит свое деструктивное воздействие на систему. Чаще всего лже-процесс нагружает процессор и оперативную память, хотя оригинальный процесс никогда себя так не ведет. И это первый признак, по которому можно выявить угрозу.

Вторым отличительным признаком можно назвать то, что в «Диспетчере задач» никогда не бывает более двух активных процессов conhost.exe. Два – максимум! Если одноименных процессов больше, это точно вирусы. Чтобы выяснить, какой из них относится к угрозе, достаточно через ПКМ на выделенном процессе обратиться к местоположению файла.

Оригинал всегда имеет полный путь c:\Windows\System32\conhost.exe и никакой другой. Если видите другое местоположение, немедленно удаляйте угрозу. При невозможности выполнения таких действий используйте портативные антивирусные сканеры (лучше всего воспользоваться дисковыми утилитами со встроенными загрузчиками Rescue Disk и проверить систему еще до ее старта).

Наконец, самое главное условие, на которое стоит обратить внимание. Описываемый системный процесс стартует исключительно и только в тех случаях, когда запускается какое-то консольное окно (командная строка, PowerShell и т. д.). В любой другой ситуации процесс неактивен или потребление ресурсов с его стороны находится на нулевой отметке.

Вместо итога

Вот кратко и все о таком непонятном на первый взгляд процессе, как conhost.exe. И если подвести некоторые итоги, можно отметить, что сама оригинальная служба является одним из самых важных компонентов, отвечающих за интерфейс Windows-систем. Завершать процесс в «Диспетчере задач», если предполагается запуск консольных приложений, не рекомендуется.

Если же это вирус, выяснить это, используя вышеописанные критерии, труда не составит. Что же касается средств нейтрализации угрозы, совершенно необязательно сразу использовать дисковые программы. Для начала воспользуйтесь хотя бы сканером Dr. Web CureIt, отметив для проверки все без исключения пункты, представленные в основном меню приложения.

Комментарии