Досить часто користувачам усіх рівнів підготовки доводиться запускати «Диспетчер завдань» (Windows 7 наприклад). Більшість пересічних юзерів на активні процеси уваги зазвичай не звертає, але коли справа доходить до навантаження на процесор і оперативну пам'ять, вони намагаються з'ясувати, що так сильно впливає на ресурси. А в «Диспетчері» відображається маса незрозумілих процесів, одним з яких можна назвати conhost.exe. Що це за служба, і за що вона відповідає, і далі буде показано. Принагідно звернемо увагу і на те, що це може бути і вірус. Як його нейтралізувати, розглянемо окремо.
Процес conhost.exe: що це таке?
Взагалі, цей активний процес до вірусів не належить, а є дуже важливою системною службою, яка призначена для так званої промальовування консольних вікон.
Якщо пригадати більш ранні системи Windows, які вийшли ще до появи модифікації ХР, у них та ж cmd консоль (командний рядок) відображалася у вигляді такого собі DOS-подібного вікна у стандартному оформленні. У версії ХР розробники спробували виправити цю проблему. Суть полягає в тому, щоб консольне вікно мало оформлення, відповідне поточній темі.
Мається на увазі ось що. Наприклад, у Windows ХР всі вікна програм мають характерну об'ємну шапку синього кольору. При виклику тієї ж командного рядка вікно стало виглядати точно так само, як і у всіх інших додатків, а не в стандартному оформленні, а-ля Windows 95. От саме за це і відповідає служба conhost.exe. Що це таке, трохи зрозуміло. Йдемо далі.
Історія появи
Дійсно, вперше цей процес з'явився саме в Windows XP. Незважаючи на досить цікаву задумку, нововведення виявилося вельми недопрацьованим.
Самі консольні вікна не завжди мали той вигляд, який передбачався, а служба іноді навіть «вилітала», викликаючи критичні помилки, із-за чого і вся система ставала абсолютно непрацездатною (бували випадки, коли потрібна навіть перевстановлення). Та й навантаження на системні ресурси в той час була абсолютно невиправданою, оскільки процес спочатку запускався разом з системою, та ще й використовував ресурси при виклику консолей. Від цього треба було якось позбуватися.
Недоробки в Windows Vista
Модифікація Vista недалеко пішла від ХР. Хоча в самій службі було виправлено безліч помилок і запускаються вікна мали вигляд, відповідний встановленої в даний момент теми оформлення, проте працювати з тією ж командним рядком, як це передбачається зараз, було неможливо. Мається на увазі, що всі команди або, наприклад, шляхом файлів потрібно було прописувати виключно вручну. Ні про яке копіюванні або вставці і мови не було.
Перероблена служба в Windows 7 і вище
А ось в Windows 7 служба змінилася кардинально. Мало того, що вона практично ніколи не давала збоїв, не кажучи вже про нормальному вигляді консольних вікон, тепер стало можливо, наприклад, для зазначення повного шляху до якогось об'єкту не вводити дані вручну, а просто перетягнути його в вікно тієї ж командного рядка. За це теж відповідає служба conhost.exe. Що це за інструмент щодо введених команд?
А ось що: їх можна абсолютно елементарно скопіювати, скажімо, з «Блокнота» або з інтернет-сайту, а потім вставити в консоль для виконання.
Що робити, якщо це все ж вірус?
В цілому, здається, зрозуміло, за що відповідає описуваний системний процес. Все б добре, але з часу його появи у Windows-системах активно стали розвиватися і різного роду вірусні погрози, які при проникненні на комп'ютер маскуються саме під нього. Користувач вважає, що «Диспетчер завдань Windows 7 наприклад, показує саме системний процес, причому з тими ж атрибутами, а насправді це активна служба самого вірусу, який в даний момент виробляє своє деструктивний вплив на систему. Найчастіше лже-процес навантажує процесор і оперативну пам'ять, хоча оригінальний процес ніколи себе так не поводиться. І це перша ознака, за якою можна виявити загрозу. Другим відмітним ознакою можна назвати те, що в «Диспетчері завдань» ніколи не буває більше двох активних процесів conhost.exe. Два – максимум! Якщо однойменних процесів більше, це точно віруси. Щоб з'ясувати, який з них відноситься до загрози, досить через ПКМ на виділеному процесі звернутися до розташування файлу.
Оригінал завжди має повний шлях c:WindowsSystem32conhost.exe і ніякий інший. Якщо бачите інше місце, негайно видаляйте загрозу. При неможливості виконання таких дій використовувати портативні антивірусні сканери краще всього скористатися дисковими з вбудованими утилітами завантажувачами Rescue Disk і перевірити систему ще до її старту). Нарешті, найголовніше умова, на яке варто звернути увагу. Описуваний системний процес стартує виключно і тільки в тих випадках, коли запускається якесь консольне вікно командний рядок, PowerShell і т. д.). В будь-якій іншій ситуації процес неактивний або споживання ресурсів з його боку знаходиться на нульовій позначці.
Замість підсумку
Ось коротко і все про такому незрозумілому на перший погляд процесі, як conhost.exe. І якщо підвести деякі підсумки, можна зазначити, що сама оригінальна служба є одним з найважливіших компонентів, що відповідають за інтерфейс Windows-систем. Завершувати процес в «Диспетчері завдань», якщо передбачається запуск консольних додатків, не рекомендується. Якщо ж це вірус, з'ясувати це, використовуючи вищеописані критерії, труднощів не складе. Що ж стосується засобів нейтралізації загрози, зовсім необов'язково відразу використовувати дискові програми. Для початку скористайтеся хоча б сканером Dr. Web CureIt, зазначивши для перевірки всі без винятку пункти, представлені в основному меню програми.