Каждый пользователь современной системы Windows, так или иначе в процессе, вызывает диспетчер задач, в котором отображаются все запущенные приложения, службы и процессы. Многие обращают внимание на системный компонент conhost.exe. Что это такое и зачем нужна эта услуга, мы сейчас рассмотрим.
Что такое conhost.exe в Диспетчере задач?
Для непосвященных пользователей сразу отметим, что данная системная служба должна быть включена. Впервые он появился в Windows Vista, дополняя процесс csrss.exe, который изначально присутствовал в «истечении срока действия».
Говоря простым языком о том, что такое процесс conhost.exe, следует отметить, что он отвечает за исправление давней проблемы, связанной с отрисовкой окон консоли (например, окно командной строки, похожее на это было ранее в системах DOS).
Аналог в Windows XP
Для начала рассмотрим любимую многими Windows XP. Возможно, некоторые пользователи заметили, что при использовании определенной темы, отличной от заданной по умолчанию, окно консоли всегда отображается в классической «экспресс-форме.
Дело в том, что оформление окна было поручено самой системе (за это отвечал вышеупомянутый процесс csrss.exe). Поэтому изменить вид окна в соответствии с текущим дизайном было невозможно.
Проблемы в Windows Vista
Для изменения этой ситуации в «Vista» использовалась новая служба, за запуск которой отвечал системный файл conhost.exe. Хотя процесс работал с более низким приоритетом, чем csrss.exe, в большинстве случаев он все же исправлял внешний вид окна.
Однако, как уже говорилось выше, сама услуга оказалась незавершенной, поэтому окна выглядели старыми. Кроме того, в Whist, хотя он был изначально задуман, не было возможности перетаскивать файл в окно консоли из стандартного проводника, поскольку он не имел повышенных привилегий по сравнению с родительским процессом.
Изменения в Windows 7 и выше
Начиная с седьмой версии Windows, служба conhost.exe претерпела существенные изменения. Хотя он все еще находится в дереве приоритетов процессов между csrss.exe и cmd.exe, он по-прежнему отображает окно консоли в формате, соответствующем установленной теме.
Основное изменение заключалось в том, что теперь появилась возможность вставлять файлы из проводника, например, непосредственно в окно командной строки, которое отображало полный путь к указанному файлу на экране, устраняя необходимость вставки вручную.
В большинстве случаев сама служба conhost.exe запускается исключительно из командной строки. Хотя сегодня можно найти некоторые приложения, которым в той или иной степени может потребоваться доступ к окнам консоли, их активация занимает всего несколько секунд, и вызов появляется автоматически без вмешательства пользователя. То есть, например, на определенном этапе установки программы на тапе появляется окно, в котором выполняются какие-то действия, а по окончании процесса окно исчезает само, что избавляет пользователя от необходимости закройте его вручную.
Служба conhost.exe запускается многократно: как лечить?
Теперь рассмотрим возможные проблемы, которые могут возникнуть при автономной работе этого модуля системы. Исполняемый файл находится в папке System32 корневого каталога Windows. Несложно догадаться, что если сервис запускается прямо через этот файл, ничего потенциально опасного в этом нет, и принудительно завершать его ни в коем случае не рекомендуется.
Но также бывает, что несколько процессов с одинаковым именем одновременно появляются в одном и том же диспетчере задач. Что это значит? Да только то, что в систему попал вирус, который таким простым способом маскируется под системный сервис. Но многие пользователи просто не знают, какой процесс завершить, если вдруг возникнут проблемы с увеличением нагрузки на системные ресурсы именно из-за этого компонента. Также, если все эти процессы отключать последовательно, ничего не выйдет — вирусы снова активируются.
Среди наиболее известных и потенциально опасных угроз, замаскированных под процесс conhost.exe, сегодня выделяются две: Trojan: Win32 / Alureon.FM или Backdoor: Win32 / Cycbot.B и RiskTool.Win32.BitCoinMiner.amv или Packed. Win32. Krap.hy. Как видно из классификации, это обычные трояны, которые стремятся открыть доступ к системе, чтобы перехватить информацию пользователя и передать ее третьим лицам или использовать в своих целях. В некоторых случаях возможен сбой в работе системы из-за увеличения нагрузки на центральный процессор и оперативную память.
Как от этого избавиться, думаю, не нужно особо объяснять. Придется использовать антивирусный сканер, но не тот, который установлен в системе по умолчанию (он уже потерял вирус), а какую-нибудь портативную утилиту, такую как KVRT от Лаборатории Касперского, Dr.Web CurIt! и т д. Если они не помогают, то следует использовать тяжелую артиллерию в виде специальных утилит с общим названием Rescue Disk. Как вы понимаете, самыми мощными продуктами в этом отношении являются Kaspersky и Dr. Ragnatela. Это признают как специалисты, так и обычные пользователи.