Conhost.exe - системний процес або вірус?

Кожен користувач сучасної Windows-системи так чи інакше у процесі роботи викликає Диспетчер завдань, де відображаються всі запущені програми, служби та процеси. Багато звертають увагу на системний компонент під назвою conhost.exe. Що це таке, і навіщо взагалі потрібна ця служба, зараз і буде розглянуто.

Що таке conhost.exe в Диспетчері завдань?

Для непосвячених користувачів відзначимо відразу, що ця системна служба обов'язкова для включення. Вперше вона з'явилася в Windows Vista, доповнивши процес csrss.exe, який спочатку був присутній в «експишке».
Якщо говорити про те, що собою являє процес conhost.exe, простою мовою, слід зазначити, що він відповідає за виправлення давньої проблеми, пов'язаної з промальовуванням консольних вікон (наприклад, вікна командного рядка, схожого на те, що раніше було в DOS-системах).

Аналог Windows XP

Для початку розглянемо улюблену багатьма Windows XP. Може бути, деякі юзери помічали, що при використанні певної теми оформлення, відмінною від тієї, яка встановлена за замовчуванням, консольне вікно завжди виглядає в класичному «експишном» вигляді. Справа в тому, що промальовування вікна покладалася на саму систему (за це відповідав вищевказаний процес csrss.exe). Таким чином, змінити вигляд вікна, щоб воно відповідало поточного оформленню, було неможливо.

Проблеми в Windows Vista

Для зміни такої ситуації в «Вісті» була використана нова служба, за запуск якої відповідав системний файл conhost.exe. Процес хоч і працював з більш низьким пріоритетом, ніж csrss.exe тим не менш в більшості випадків виправляв зовнішній вигляд вікна.
Однак, як вже говорилося вище, сама служба виявилася недопрацьованою, в результаті чого вікна мали старий вигляд. Крім того, «Вісті», хоча це і замислювалося спочатку, відсутня можливість перетягування файлу в консольне вікно із стандартного Провідника, оскільки він не мав високих привілеїв порівняно з батьківським процесом.

Зміни в Windows 7 і вище

Починаючи з сьомої версії Windows служба conhost.exe зазнала кардинальні зміни. Хоча вона як і раніше в дереві пріоритету процесів знаходиться між csrss.exe і cmd.exe тим не менш дозволяє вивести на екран консольне вікно в такому вигляді, який відповідає визначеній темі. Головна зміна стосується того, що тепер можна було вставляти файли з Провідника, наприклад, прямо в вікно командного рядка, що видавало на екрані повний шлях до вказаного файлу, позбавляючи користувача від необхідності його введення в ручному режимі. У більшості випадків сама служба conhost.exe працює виключно з коном командного рядка. Хоча сьогодні можна знайти чимало програм, які певною мірою можуть зажадати доступ до консольним вікон, їх спрацьовування займає всього кілька секунд, а поява викликається кона відбувається автоматично без участі користувача. Тобто, наприклад, на певному етапі установки програми на крані з'являється віконце, в якому проводяться якісь дії, а по закінченні процесу вікно самостійно зникає, що позбавляє користувача від необхідності його закриття вручну.

Служба conhost.exe запускається багаторазово: як лікувати?

Тепер розглянемо можливі проблеми, які можуть виникнути у разі автономної роботи цього системного модуля. Виконуваний файл знаходиться в папці System32 головною директорії Windows. Неважко здогадатися, що якщо служба запущена саме за допомогою цього файлу, нічого потенційно небезпечного в ній немає, і завершувати її примусово не рекомендується ні в якому разі. Але буває і таке, що в тому ж Диспетчері завдань з'являється відразу кілька однойменних процесів. Що це означає? Та тільки те, що в систему проник вірус, який таким простим чином виробляє власну маскування під системну службу. А адже багато юзери просто не знають, який саме процес треба завершити, якщо раптом спостерігаються проблеми з підвищеним навантаженням на системні ресурси саме з-за цього компонента. До того ж якщо всі ці процеси відключати послідовно, нічого не вийде – віруси активуються знову. Серед найвідоміших і найбільш потенційно небезпечних загроз, що маскуються під процес conhost.exe сьогодні виділяють дві: Trojan:Win32/Alureon.FM, або Backdoor:Win32/Cycbot.B і RiskTool.Win32.BitCoinMiner.amv, або Packed.Win32.Krap.hy. Як видно з класифікацією, це звичайні трояни, які націлені на відкриття доступу до системи з метою перехоплення інформації та її передачі третім особам або використання у власних цілях. У деяких випадках можливе порушення роботи системи, якраз і пов'язане з підвищеним навантаженням на центральний процесор і оперативну пам'ять. Як від цього позбавитися, думається, пояснювати особливо не потрібно. Доведеться використовувати антивірусний сканер, але тільки не той, що встановлений в системі за умовчанням (він вже пропустив вірус), а яку-небудь портативну утиліту зразок KVRT «Лабораторії Касперського», Dr. Web CurIt! і т. д. і Якщо вони не допоможуть, тоді слід задіяти важку артилерію у вигляді спеціальних утиліт з загальним назвою Rescue Disk. Як вже можна здогадатися, найбільш потужними в цьому відношенні є саме продукти Kaspersky і Dr. Web. Це визнано і експертами, і рядовими користувачами.