Conhost.exe. Що за процес: системна служба або вірус?

Напевно, у світі немає жодного користувача операційних систем Windows, яка хоч коли-небудь не запускав би «Диспетчер завдань» для завершення якогось завислого додатка або для перегляду продуктивності комп'ютера. От тільки іноді в дереві активних в даний момент процесів багато користувачів звертають увагу на присутність у списку якоїсь служби у вигляді виконуваного файлу conhost.exe. Що за процес «висить» у системі, особливо ніхто не розбирається, вважаючи його вірусом (особливо якщо він запущений багаторазово). Дійсно, він може бути загрозою, але не завжди.

Conhost.exe: що за процес спостерігається в «Диспетчері завдань»?

Насамперед потрібно розібратися, що являє собою даний процес і відповідає за нього виконуваний файл. Сам процес відноситься до системних служб Windows і з'явився ще в Windows XP. Він відповідає за відкриття консольних вікон на кшталт командного рядка або PowerShell. Основне його призначення – відкриття вікна консолі з застосуванням оформлення, заданого для поточної теми, встановленою для всіх графічних елементів, зокрема для вікон.

Для чого потрібна служба conhost.exe?

Щоб було зрозуміліше, розглянемо все ту ж Windows XP. Ймовірно, багато хто звертав увагу, що при встановленій за замовчуванням темі вікна всіх програм мають однакове оформлення, наприклад у вигляді об'ємної синьою шапки зверху. Але от коли викликається та ж командний рядок, вікно виглядає інакше (у стандартному оформленні старих систем). Щоб вікно мало вигляд поточної теми, і був розроблений системний компонент conhost.exe. Вікно консолі вузла при спрацьовуванні самого виконуваного файлу відкривається саме в тому вигляді, в якому представлені всі інші вікна.


Проте найголовніша проблема спочатку полягала в тому, що ця служба в XP була явно недопрацьована, з-за чого вікна не відкривалися в тому вигляді, а іноді навіть спостерігалося зависання всієї системи. У «Вісті» служба була модифікована, хоча і працювала з пріоритетом рангом нижче, ніж компонент scrss.exe, який XP спочатку відповідав за оформлення консольних вікон. Але і тут спостерігалося безліч проблем. І тільки починаючи з сьомої модифікації служба була перероблена кардинально. Незважаючи на те що її пріоритет виклику та виконання зберігся між рівнями scrss cmd, консольні вікна при виклику відповідних програм стали виглядати як належить (наприклад, в оформленні теми Aero).

Можна відключити службу?

Така коротенька служба conhost.exe. Що за процес перед нами, здається, трохи зрозуміло. Тепер кілька слів про те, чи можна вимкнути цей процес. Взагалі, робити цього не рекомендується, власне, як для всіх інших системних компонентів. Втім, якщо вас не бентежить вид вікон без застосування оформлення, встановленого для поточної теми, процес можна відключити (завершити в «Диспетчері завдань»). Зауважте, служба тільки відключається, і то на час. Видалити її, навіть володіючи повним набором адміністраторських прав, неможливо (якщо тільки це не вірус). Система просто не дасть цього зробити, і абсолютно всі сторонні кошти виявляться безсилі. До того ж стартує процес виключно при запуску консольних вікон, а при їх відсутності або у моменти простою системи в «Диспетчері завдань» його немає. Та й на швидкодію комп'ютера ця служба особливо не впливає.

Вірус conhost.exe: перевірка розташування файлу програми

Зовсім інша ситуація – коли в тому ж «Диспетчері завдань» в дереві активних процесів спостерігається поява декількох однойменних служб (принаймні, двох). Це вже явний натяк на присутність в системі вірусів, які під цю службу і маскуються. А якщо там присутній ще й компонент engine.exe все – чекай неприємностей! Це – точно вірус. Але навіть присутність тільки одного процесу може свідчити про проникнення в систему загрози у вигляді шкідливих виконуваних кодів. Найчастіше це відноситься до троянам. Щоб упевнитися, що процес є системним (або вірусним), в «Диспетчері завдань», використовуючи вкладку процесів, через меню ПКМ потрібно вибрати рядок відкриття розташування файлу. Оригінальний файл conhost.exe завжди розташований в системній папці System32 основний директорії операційної системи. Якщо ж вказана відмінна від цієї локація, необхідно терміново вживати заходів.

Перевірка на предмет наявності загроз

Тепер подивимося, як видалити conhost.exe. В принципі, нічого особливо складного тут немає. Проте слід врахувати деякі нюанси. Насамперед у самому «Диспетчері завдань» потрібно завершити всі однойменні процеси. Навіть якщо в цей момент буде залишена оригінальна служба, нічого страшного (при рестарті вона запуститься знову в автоматичному режимі). Після цього необхідно використовувати якийсь потужний сканер, бажано портативного типу (наприклад, Dr. Web CureIt! або KVRT). Запускати поглиблене сканування із застосуванням вже встановленого антивіруса виглядає недоцільним, хоча б по причині того, що він вже пропустив загрозу.
Однак, як показує практика, найбільш дієвим методом видалення такої напасті стане використання спеціальних дискових програм на зразок Kaspersky Rescue Disk або аналогів від інших розробників, що спеціалізуються на антивірусного захисту. Перевага таких утиліт полягає в тому, що вони мають власний завантажувач, і при запису на змінний носій можна завантажитися саме з нього ще до старту основної ОС. У додатку можна використовувати графічний інтерфейс або DOS-режим. Далі потрібно просто перевірити всю систему, встановивши параметр поглибленого сканування і дочекатися завершення процесу. При цьому можуть бути визначені навіть ті віруси, які дуже глибоко інтегровані в систему або навіть постійно знаходяться в оперативній пам'яті.

Замість підсумку

Така служба conhost.exe. Що за процес відбувається в системі при відкритті консолей, вже зрозуміло, як і те, що служба при багаторазовому запуску може виявитися шкідливим елементом. Власне, позбутися такого вірусу праці не складе. Необхідно просто підібрати оптимальну утиліту для перевірки і видалення загрози.