Если вы читаете эту статью значит вам интересно что такое conhost.exe процесс, что он делает в
диспетчере задач, и почему он работает в Windows 7.
Процесс Conhost.exe
- это решение фундаментальной проблемы обработки консольных окон в
предыдущих версиях Windows, он работал с ошибками в Vista, а в Windows ХР его вообще
не было.
Он совершенно безопасный если запущен и работает из папки C:\Windows\system32\conhost.exe
.
Но сканирование компьютера на наличие вирусов никогда не помешает.
Если он находиться в другом месте, то скорее всего, это вирус или вредоносная программа.
Windows 7 улучшена таким образом, что визуальные окна консоли обрабатывает сама
операционная система. В предыдущих версиях Windows процесс консоли работал под управлением
процесса csrss.exe (Client Server Runtime Process) . Он запускался от системной привилегированной
учетной записи.
Если посмотреть на окно командной строки в Windows XP, то можно заметить что оно всегда имеет
классический вид, вне зависимости от того какую тему Windows вы используете на вашем
компьютере. Это связано с тем что окно консоли формирует не проводник windows explorer.exe, а
выше упомянутая служба csrss.exe.
Окно консоли в Windows Vista, использует ту же тему, что и все остальные окна, но если
присмотреться внимательно то видно что полосы прокрутки все еще используют старый стиль. Это
связано с тем что DWM (Desktop Window Manager) управляет процессом рисования внешнего вида
окна, но процесс работает так же как и в Windows XP, а полосы прокрутки являются частью
самого окна.
Conhost.exe
сидит в середине между CSRSS
и cmd.exe
и исправляет в Windows 7
проблемы предыдущих версий Windows, не только делает правильными полосы прокрутки, но и
позволяет перетащить файл из проводника прямо в командную строку:
Наверное, в мире нет ни одного пользователя операционных систем Windows, который хоть когда-нибудь не запускал бы «Диспетчер задач» для завершения какого-то зависшего приложения или для просмотра производительности компьютера. Вот только иногда в дереве активных в данный момент процессов многие пользователи обращают внимание на присутствие в списке некой службы в виде исполняемого файла conhost.exe. Что за процесс «висит» в системе, толком особо никто не разбирается, считая его вирусом (особенно если он запущен многократно). Действительно, он может быть угрозой, но не всегда.
Conhost.exe: что за процесс наблюдается в «Диспетчере задач»?
Прежде всего нужно разобраться, что собой представляет данный процесс и отвечающий за него исполняемый файл.
Сам процесс относится к системным службам Windows и появился еще в Windows XP. Он отвечает за открытие консольных окон вроде командной строки или PowerShell. Основное его предназначение - открытие окна консоли с применением оформления, заданного для текущей темы, установленной для всех графических элементов, в частности для окон.
Для чего нужная служба conhost.exe?
Чтобы было понятнее, рассмотрим все ту же Windows XP. Вероятно, многие обращали внимание, что при установленной по умолчанию теме окна всех программ имеют одинаковое оформление, например в виде объемной синей шапки сверху.
Но вот когда вызывается та же командная строка, окно выглядит иначе (в стандартном оформлении старых систем). Чтобы окно имело вид текущей темы, и был разработан системный компонент conhost.exe. Окно консоли узла при срабатывании самого исполняемого файла открывается именно в том виде, в каком представлены все остальные окна.
Однако самая главная проблема изначально состояла в том, что эта служба в XP была явно недоработана, из-за чего окна открывались не в том виде, а иногда даже наблюдалось зависание всей системы. В «Висте» служба была модифицирована, хотя и работала с приоритетом рангом ниже, нежели компонент scrss.exe, который в XP изначально отвечал за оформление консольных окон. Но и здесь наблюдалось множество проблем.
И только начиная с седьмой модификации служба была переработана кардинально. Несмотря на то что ее приоритет вызова и исполнения сохранился между уровнями scrss и cmd, консольные окна при вызове соответствующих программ стали выглядеть как положено (например, в оформлении темы Aero).
Можно ли отключить службу?
Такова вкратце служба conhost.exe. Что за процесс перед нами, думается, немного понятно. Теперь несколько слов о том, можно ли отключить этот процесс.
Вообще, делать этого не рекомендуется, собственно, как для всех остальных системных компонентов. Впрочем, если вас не смущает вид окон без применения оформления, установленного для текущей темы, процесс можно отключить (завершить в «Диспетчере задач»). Заметьте, служба только отключается, и то на время. Удалить ее, даже обладая полным набором администраторских прав, невозможно (если только это не вирус). Система попросту не даст этого сделать, и абсолютно все сторонние средства окажутся бессильны. К тому же стартует процесс исключительно при запуске консольных окон, а при их отсутствии или в моменты бездействия системы в «Диспетчере задач» его нет. Да и на быстродействие компьютера эта служба особо влияния не оказывает.
Вирус conhost.exe: проверка расположения файла программы
Совершенно иная ситуация - когда в том же «Диспетчере задач» в дереве активных процессов наблюдается появление нескольких одноименных служб (по крайней мере, более двух). Это уже явный намек на присутствие в системе вирусов, которые под эту службу и маскируются. А если там присутствует еще и компонент engine.exe, все - жди неприятностей! Это - точно вирус. Но даже присутствие только одного процесса может свидетельствовать о проникновении в систему угрозы в виде вредоносных исполняемых кодов. Чаще всего это относится к троянам.
Чтобы удостовериться, что процесс является системным (или вирусным), в «Диспетчере задач», используя вкладку процессов, через меню ПКМ нужно выбрать строку открытия местоположения файла. Оригинальный файл conhost.exe всегда расположен в системной папке System32 основной директории операционной системы. Если же указана отличная от необходимо срочно принимать меры.
Проверка на предмет наличия угроз
Теперь посмотрим, как удалить conhost.exe. В принципе, ничего особо сложного здесь нет. Однако следует учесть некоторые нюансы. Прежде всего в самом «Диспетчере задач» нужно завершить все одноименные процессы. Даже если в этот момент будет оставлена оригинальная служба, ничего страшного (при рестарте она запустится снова в автоматическом режиме).
После этого необходимо использовать какой-нибудь мощный сканер, желательно портативного типа (например, Dr. Web CureIt! или KVRT). Запускать углубленное сканирование с применением уже установленного антивируса выглядит нецелесообразным, хотя бы по причине того, что он уже пропустил угрозу.
Однако, как показывает практика, наиболее действенным методом удаления такой напасти станет использование специальных дисковых программ вроде Kaspersky Rescue Disk или аналогов от других разработчиков, специализирующихся на антивирусной защите. Преимущество таких утилит состоит в том, что они имеют собственный загрузчик, и при записи на съемный носитель можно загрузиться именно с него еще до старта основной ОС. В приложении можно использовать графический интерфейс или DOS-режим. Далее нужно просто проверить всю систему, установив параметр углубленного сканирования и дождаться завершения процесса. При этом могут быть определены даже те вирусы, которые очень глубоко интегрированы в систему или даже постоянно находятся в оперативной памяти.
Вместо итога
Такова служба conhost.exe. Что за процесс происходит в системе при открытии консолей, уже понятно, равно как и то, что служба при многократном запуске может оказаться вредоносным элементом. Собственно, избавиться от такого вируса труда не составит. Необходимо просто подобрать оптимальную утилиту для проверки и удаления угрозы.
Так или иначе любой пользователь современной операционной системы Windows в процессе работы постоянно вызывает «Диспетчер задач», в котором отображаются все запущенные службы, приложения и процессы.
Многие пользователи наверняка обращали внимание на системный компонент, который называется conhost.exe. Сейчас мы попробуем разобраться, что это за служба и для чего она нужна.
Conhost.exe: что за служба?
Для непосвященных пользователей следует сразу отметить, что данная системная служба является обязательной для включения. Она впервые появилась в операционной системе Windows Vista и дополнила собой процесс csrss.exe, который изначально присутствовал в Windows XP. Если говорить о том, что представляет собой процесс conhost.exe, то стоит отметить, что он отвечает за устранение проблемы, связанной с прорисовкой консольных окон. В качестве примера можно привести окно командной строки, которое похоже на то, которое раньше встречалось в операционных системах DOS.
Аналогичная служба в Windows XP
Для начала рассмотрим полюбившуюся многим пользователям операционную систему Windows XP. Многие пользователи наверняка замечали, что при использовании определенной темы оформления, которая отличается от той, что была использована по умолчанию, консольное окно всегда будет выглядеть в классическом XP-виде. Прорисовка окна возлагалась на саму систему. За это отвечал указанный выше процесс csrss.exe. Изменить вид окна таким образом, чтобы оно соответствовало текущему оформлению просто невозможно.
Проблемы в операционной системе Vista
В операционной системе Windows Vista для изменения данной ситуации была использована новая служба. За ее запуск и отвечал системный файл conhost.exe. Данный процесс работал с более низким приоритетом, чем csrss.exe, однако в большинстве случаев ему удавалось исправить внешний вид окна. Как уже было сказано выше, сама по себе данная служба оказалась недоработанной. В результате окна все равно имели старый вид. Также в операционной системе Vista отсутствовала возможность перетаскивания файла в консольное окно из стандартного проводника, хотя изначально она задумывалась.
Изменения в операционной системе Windows 7 и выше
В Windows начиная с седьмой версии и выше служба conhost.exe претерпела серьезные изменения. Она по-прежнему находится в дереве приоритета процессов между cmd.exe и csrss.exe, но несмотря на это она не позволяет вывести на экран консольное окно в таком виде, который соответствует используемой теме. Основное изменение коснулось того, что пользователь теперь может вставлять файлы из Проводника в то же окно командной строки. В результате на экране появляется полный путь к указанному файлу. Это избавляет пользователя от необходимости вводить данную информацию в ручном режиме. Сама служба conhost.exe в большинстве случаев работает только с окном командной строки. Сегодня существует множество приложений, которые могут в определенной степени потребовать доступ к консольным окнам. Их срабатывание занимает всего несколько секунд, а появление вызываемого окна осуществляется автоматически. Участие пользователя для этого не требуется. Таким образом, на определенном этапе установки программы на экране возникает окно, в котором выполняются какие-то действия. По завершении процесса окно автоматически исчезает. Это избавляет пользователя от необходимости закрывать данное окно в ручном режиме.
Многократно запускается служба conhost.exe: как это лечить?
Далее мы рассмотрим проблемы, которые могут возникать при автономной работе данного системного модуля. Исполняемый файл находится в главной директории Windows в папке System 32. Как вы сами можете догадаться, если служба запущена посредством данного файла, то в ней нет ничего потенциально опасного. Не рекомендуется принудительно завершать ее ни в коем случае. Бывает и так, что в том же Диспетчере задач появляется одновременно несколько одноименных процессов. Что это может значить? Только то, что в систему проник вирус, который таким образом маскируется под данную системную службу. Многие пользователи просто не знают, какой именно процесс необходимо завершить в случае появления проблем с повышенной нагрузкой на системные ресурсы из-за данного компонента. Тем более, если отключать последовательно все эти процессы, то ничего не получится: вирусы будут активироваться снова. Среди наиболее опасных угроз, которые могут маскироваться под процесс conhost.exe можно особо отметить Trojan: Win32/Alureon.FM, Backdoor:Win32/Cycbot B и RiskTool.Win32.BitCoinMiner.amv. Это обычные трояны, целью которых является открытие доступа к системе с целью перехвата информации пользователя и передачи ее третьим лицам. В некоторых случаях также может наблюдаться нарушение работы системы, которое связано с повышенной нагрузкой на оперативную память и центральный процессор. Не нужно особо объяснять, как избавиться от этих объектов. Для этой цели придется использовать антивирусный сканер. Лучше всего для этой цели подойдет портативная утилита типа Dr. Web Cure It или KVRT. Если данные инструменты не помогут, то можно будет задействовать тяжелую артиллерию в виде специальных утилит, имеющих общее название Rescue Disk. Как вы уже могли догадаться, в этом отношении наиболее мощными являются продукты Dr. Web и Kaspersky. Это признают и рядовые пользователи, и ведущие эксперты.
Вы, несомненно, читаете эту статью, потому что наткнулись на процесс Console Window Host (conhost.exe) в диспетчере задач и задаетесь вопросом, что это такое. У меня есть ответ для вас.
Эта статья является частью серии, объясняющей различные процессы, обнаруженные в диспетчере задач, такие как , svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe и многие другие. Не знаете, что это такое? !
Итак, что такое процесс conhost.exe?
Понимание процесса Console Window Host требует немного истории. В дни Windows XP командная строка обрабатывалась процессом с именем ClientServer Runtime System Service (CSRSS). Как следует из названия, CSRSS был сервисом на системном уровне. Это создало пару проблем. Во-первых, сбой в CSRSS мог привести к сбою всей системы, которая выявила не только проблемы с безопасностью, но и возможные уязвимости безопасности. Вторая проблема заключалась в том, что CSRSS не может быть тематическим, потому что разработчики не хотели подвергать риску программный код для запуска в системном процессе. Таким образом, командная строка всегда имела классический вид, и не использовала новые элементы интерфейса.
Обратите внимание на скриншот Windows XP ниже, командная строка не получает тот же стиль, что и приложения, например, «Блокнот».
Windows Vista представила Desktop Window Manager - службу, которая «рисует» составные виды окон на вашем рабочем столе, вместо того чтобы позволить каждому отдельному приложению использовать их самостоятельно. Командная строка получила некоторые поверхностные темы (например, стеклянную рамку, присутствующую в других окнах), но это произошло за счет возможности перетаскивания файлов, текста и т. д. в окно командной строки.
Тем не менее, эта тематика не зашла так далеко. Если вы посмотрите на консоль в Windows Vista, похоже, что она использует ту же тему, что и все остальные, но вы заметите, что полосы прокрутки по-прежнему используют старый стиль. Это связано с тем, что диспетчер окон рабочего стола обрабатывает чертежи и рамки заголовков, но старое окно CSRSS все еще находится внутри.
Войдите в Windows 7 и Console Window Host process. Как видно из названия, это хост-процесс для окна консоли. Сорт процесса находится посередине между CSRSS и командной строкой (cmd.exe), позволяя Windows исправить обе предыдущие проблемы - элементы интерфейса, такие как полосы прокрутки, рисуются правильно, и вы можете снова перетащить их в командную строку. И это метод, который все еще используется в Windows 8 и 10, что позволяет использовать все новые элементы интерфейса и стили, которые появились с Windows 7.
Несмотря на то, что диспетчер задач представляет Console Window Host как отдельный объект, он все еще тесно связан с CSRSS. Если вы проверите процесс conhost.exe в , вы увидите, что он действительно работает под процессом csrss.ese.
В конце концов, Console Window Host является чем-то вроде оболочки, которая поддерживает возможность запуска службы на системном уровне, такой как CSRSS, но при этом предоставляет возможность интеграции современных элементов интерфейса.
Почему существует несколько экземпляров процесса?
Вы часто увидите несколько экземпляров процесса Console Window Host, запущенных в диспетчере задач. Каждый экземпляр командной строки запускает свой собственный процесс Console Window. Кроме того, в других приложениях, использующих командную строку, будет создан собственный процесс Console Window, даже если вы не увидите для них активного окна. Хорошим примером этого является приложение Plex Media Server, которое работает как фоновое приложение и использует командную строку, чтобы сделать ее доступной для других устройств в вашей сети.
Многие фоновые приложения работают таким образом, поэтому нет ничего необычного в том, что несколько экземпляров процесса Console Window работают в любой момент времени. Это нормальное поведение. По большей части каждый процесс должен занимать очень мало памяти (обычно менее 10 МБ) и почти нулевой ЦП, если процесс не активен.
Тем не менее, если вы заметили, что конкретный экземпляр Console Window Host или связанная с ним служба вызывает проблемы, такие как постоянное чрезмерное использование ЦП или ОЗУ, вы можете проверить конкретные приложения, которые задействованы. Это может по крайней мере дать вам представление о том, где начать поиск и устранение неисправностей. К сожалению, сам диспетчер задач не предоставляет хорошую информацию об этом. Хорошей новостью является то, что Microsoft предоставляет отличный передовой инструмент для работы с процессами в составе линейки Sysinternals. Просто загрузите Process Explorer и запустите его - это портативное приложение, поэтому нет необходимости его устанавливать. Process Explorer предоставляет всевозможные расширенные функции - и я настоятельно рекомендую прочитать руководство по пониманию Process Explorer, чтобы узнать больше.
Самый простой способ отслеживать эти процессы в Process Explorer - сначала нажать Ctrl + F, чтобы начать поиск. Найдите «conhost», а затем щелкните результаты. Когда вы это сделаете, вы увидите изменение основного окна, которое покажет вам приложение (или службу), связанное с этим конкретным экземпляром Console Window Host.
Если чрезмерное использование ЦП или ОЗУ, вызывает у вас беспокойство, по крайней мере, вы сузите поиск к определенному приложению.
Может ли этот процесс быть вирусом?
Сам процесс является официальным компонентом Windows. Хотя возможность, что вирус заменил реальный Console Window Host собственным исполняемым файлом, маловероятно. Если вы хотите быть уверенным, вы можете проверить базовое расположение файла процесса. В диспетчере задач щелкните правой кнопкой мыши на процессе и выберите опцию «Открыть расположение файла».
Если файл хранится в вашей папке Windows\System32, вы можете быть уверены, что не имеете дело с вирусом.
На самом деле есть троян, называемый Conhost Miner, который маскируется как процесс Console Window Host. В диспетчере задач он выглядит так же, как и реальный процесс, но место расположения покажет, что он хранится в %userprofile%\AppData\Roaming\Microsoft а не в папке Windows\System32. Троян действительно используется для захвата вашего компьютера, поэтому необычное поведение, которое вы можете заметить, заключается в использовании памяти выше, чем вы могли ожидать, а использование ЦП поддерживается на очень высоких уровнях (часто выше 80%).
Конечно, использование хорошего антивирусного сканера - лучший способ предотвратить (и удалить) вредоносное ПО, например, Conhost Miner, и это то, что вы должны делать в любом случае. Береженого Бог бережет!
Что такое conhost.exe?
Conhost.exe - это процесс обрабатывающий консольные окна в последних версиях Windows. В Windows Vista Conhost.exe часто работал с ошибками, в XP его вообще не было. Многие процесс Conhost.exe ошибочно считают вирусом. Проверить это очень просто.
Conhost.exe должен запускаться из папки system32 и подписывается Microsoft. Причем запускаться только тогда, когда выполняется какая либо консольная команда. Посмотрите свойства файла Conhost.exe и вы убедитесь, что Conhost.exe Console Windows Host (Хост окно консоли).
Для чего нужен conhost.exe?
Вы наперника обратили внимание на то, что в Windows XP окно коммандной строки всегда имеет классический вид, вне зависимости от того какая тема на вашем компьютере выбрана. Это связано с тем что окно консоли формирует не проводник windows explorer.exe, а особоя служба csrss.exe (Client Server Runtime Process).
Если вы посмотрите на окно коммандной строки Vista, то увидете, что за исключением полосы прокрутки оно использует ту же тему, что и все остальные окна Windows. Полосу прокрутки в Vista по прежнему обрабатывает csrss.exe. А так же можно заметить, что больше нет возможности перетянуть ярлык из проводника в окно коммандной строки. Это связано с тем, что в Vista csrss.exe (окно консоли) имеет больше привелегий в системе, чем explorer.exe (проводник).
В Windows 7 все работает иначе..
Если открыть дистпетчер задач Windows 7 то можно обнаружить, что процесс conhost.exe всегда запускается от службы csrss.exe. Он является своего рода помошником в "общении" проводника и csrss.exe. Благодаря conhost.exe в Windows 7 удалось оформить окно коммандной строки, включая полосы прокрутки, в стиле, установленном на компьютере. А так же дало возможность перетаскивать файлы прямо из проводника в окно консоли.