Conhost.exe - сістэмны працэс або вірус?

Кожны карыстальнік сучаснай Windows-сістэмы так ці інакш у працэсе працы выклікае Дыспетчар задач, дзе адлюстроўваюцца ўсе запушчаныя прыкладання, службы і працэсы. Многія звяртаюць увагу на сістэмны кампанент пад назвай conhost.exe. Што гэта такое, і навошта наогул патрэбна гэтая служба, цяпер і будзе разгледжана.

Што такое conhost.exe ў Дыспетчару задач?

Для неазнаёмленых карыстальнікаў адзначым адразу, што гэтая сістэмная служба абавязковая для ўключэння. Упершыню яна з'явілася ў Windows Vista, дапоўніўшы працэс csrss.exe, які першапачаткова прысутнічаў у «экспишке».

Калі казаць пра тое, што сабой уяўляе працэс conhost.exe, простай мовай, варта адзначыць, што ён адказвае за выпраўленне колішняй праблемы, звязанай з прамалёўкай кансольных вокнаў (напрыклад, вокны каманднага радка, падобнага на тое, што раней было ў DOS-сістэмах ).

Аналаг ў Windows XP

Для пачатку разгледзім любімую многімі Windows XP. Можа быць, некаторыя юзэры заўважалі, што пад час выкарыстаньня пэўнай тэмы афармлення, выдатнай ад той, якая ўсталяваная па змаўчанні, кансольнае акно заўсёды выглядае ў класічным «экспишном» выглядзе.

Справа ў тым, што прамалёўка вокны ўскладалася на саму сістэму (за гэта адказваў вышэйзгаданы працэс csrss.exe). Такім чынам, змяніць выгляд акна, каб яно адпавядала бягучаму афармленні, было немагчыма.

Праблемы ў Windows Vista

Для змены такой сітуацыі ў «Вістой" была выкарыстаная новая служба, за запуск якой адказваў сістэмны файл conhost.exe. Працэс хоць і працаваў з больш нізкім прыярытэтам, чым csrss.exe, тым не менш у большасці выпадкаў выпраўляў знешні выгляд акна.

Аднак, як ужо гаварылася вышэй, сама служба аказалася недапрацаванай, у выніку чаго вокны мелі стары выгляд. Акрамя таго, у «Вістой», хоць гэта і задумвалася першапачаткова, адсутнічала магчымасць перацягвання файла ў кансольнае акно з стандартнага Правадыра, паколькі ён не меў высокіх прывілеяў у параўнанні з бацькоўскім працэсам.

Змены ў Windows 7 і вышэй

Пачынаючы з сёмай версіі Windows служба conhost.exe зведала кардынальныя змены. Хоць яна па-ранейшаму ў дрэве прыярытэту працэсаў знаходзіцца паміж csrss.exe і cmd.exe, тым не менш дазваляе вывесці на экран кансольнае акно ў такім выглядзе, які адпавядае ўсталяванай тэме.

Галоўнае змяненне закранула таго, што зараз можна было ўстаўляць файлы з Правадыра, напрыклад, прама ў акно каманднага радка, што выдавала на экране поўны шлях да згаданага файлу, пазбаўляючы карыстача ад неабходнасці яго ўводу ў ручным рэжыме.

У большасці выпадкаў сама служба conhost.exe працуе выключна з ным законам каманднага радка. Хоць сёння можна знайсці нямала прыкладанняў, якія ў пэўнай ступені могуць запатрабаваць доступ да кансольным вокнаў, іх спрацоўванне займае ўсяго некалькі секунд, а з'яўленне выкліканага Конан адбываецца аўтаматычна без удзелу карыстальніка. Гэта значыць, напрыклад, на пэўным этапе ўстаноўкі праграмы на кране з'яўляецца акенца, у якім вырабляюцца нейкія дзеянні, а пасля заканчэння працэсу акно самастойна знікае, што пазбаўляе юзэра ад неабходнасці яго закрыцця ўручную.

Служба conhost.exe запускаецца шматкроць: як лячыць?

Зараз разгледзім магчымыя праблемы, якія могуць паўстаць у выпадку аўтаномнай працы гэтага сістэмнага модуля. Выкананы файл знаходзіцца ў тэчцы System32 галоўнай дырэкторыі Windows. Няцяжка здагадацца, што калі служба запушчана менавіта з дапамогай гэтага файла, нічога патэнцыйна небяспечнага ў ёй няма, і завяршаць яе прымусова не рэкамендуецца ні ў якім разе.

Але бывае і такое, што ў тым жа Дыспетчару задач з'яўляецца адразу некалькі аднайменных працэсаў. Што гэта азначае? Ды толькі тое, што ў сістэму пракраўся вірус, які такім самым мірным чынам вырабляе ўласную маскіроўку пад сістэмную службу. А бо многія юзэры проста не ведаюць, які менавіта працэс трэба завяршыць, калі раптам назіраюцца праблемы з падвышанай нагрузкай на сістэмныя рэсурсы менавіта з-за гэтага кампанента. Да таго ж калі ўсе гэтыя працэсы адключаць паслядоўна, нічога не выйдзе - вірусы актывуюцца зноў.

Сярод самых вядомых і найбольш патэнцыйна небяспечных пагроз, маскіравальных пад працэс conhost.exe, сёння вылучаюць дзве: Trojan: Win32 / Alureon.FM, або Backdoor: Win32 / Cycbot.B і RiskTool.Win32.BitCoinMiner.amv, або Packed.Win32. Krap.hy. Як відаць з класіфікацыі, гэта звычайныя траяны, якія накіраваны на адкрыццё доступу да сістэмы з мэтай перахопу карыстацкай інфармацыі і яе перадачы трэцім асобам або выкарыстання ва ўласных мэтах. У некаторых выпадках магчыма парушэнне працы сістэмы, як раз і звязанае з падвышанай нагрузкай на цэнтральны працэсар і аператыўную памяць.

Як ад гэтага пазбавіцца, думаецца, тлумачыць асабліва не трэба. Давядзецца выкарыстоўваць антывірусны сканер, але толькі не той, што ўсталяваны ў сістэме па змаўчанні (ён ужо прапусціў вірус), а якую-небудзь партатыўную ўтыліту накшталт KVRT «Лабараторыі Касперскага», Dr. Web CurIt! і т. д. Калі і яны не дапамогуць, тады варта задзейнічаць, цяжкую артылерыю ў выглядзе адмысловых утыліт з агульнай назвай Rescue Disk. Як ужо можна здагадацца, найбольш магутнымі ў гэтых адносінах з'яўляюцца менавіта прадукты Kaspersky і Dr. Web. Гэта прызнана і экспертамі, і радавымі карыстачамі.