Что за процесс conhost exe. Аналогичная служба в Windows XP

Наверное, в мире нет ни одного пользователя операционных систем Windows, который хоть когда-нибудь не запускал бы «Диспетчер задач» для завершения какого-то зависшего приложения или для просмотра производительности компьютера. Вот только иногда в дереве активных в данный момент процессов многие пользователи обращают внимание на присутствие в списке некой службы в виде исполняемого файла conhost.exe. Что за процесс «висит» в системе, толком особо никто не разбирается, считая его вирусом (особенно если он запущен многократно). Действительно, он может быть угрозой, но не всегда.

Conhost.exe: что за процесс наблюдается в «Диспетчере задач»?

Прежде всего нужно разобраться, что собой представляет данный процесс и отвечающий за него исполняемый файл.

Сам процесс относится к системным службам Windows и появился еще в Windows XP. Он отвечает за открытие консольных окон вроде командной строки или PowerShell. Основное его предназначение - открытие окна консоли с применением оформления, заданного для текущей темы, установленной для всех графических элементов, в частности для окон.

Для чего нужная служба conhost.exe?

Чтобы было понятнее, рассмотрим все ту же Windows XP. Вероятно, многие обращали внимание, что при установленной по умолчанию теме окна всех программ имеют одинаковое оформление, например в виде объемной синей шапки сверху.

Но вот когда вызывается та же командная строка, окно выглядит иначе (в стандартном оформлении старых систем). Чтобы окно имело вид текущей темы, и был разработан системный компонент conhost.exe. Окно консоли узла при срабатывании самого исполняемого файла открывается именно в том виде, в каком представлены все остальные окна.

Однако самая главная проблема изначально состояла в том, что эта служба в XP была явно недоработана, из-за чего окна открывались не в том виде, а иногда даже наблюдалось зависание всей системы. В «Висте» служба была модифицирована, хотя и работала с приоритетом рангом ниже, нежели компонент scrss.exe, который в XP изначально отвечал за оформление консольных окон. Но и здесь наблюдалось множество проблем.

И только начиная с седьмой модификации служба была переработана кардинально. Несмотря на то что ее приоритет вызова и исполнения сохранился между уровнями scrss и cmd, консольные окна при вызове соответствующих программ стали выглядеть как положено (например, в оформлении темы Aero).

Можно ли отключить службу?

Такова вкратце служба conhost.exe. Что за процесс перед нами, думается, немного понятно. Теперь несколько слов о том, можно ли отключить этот процесс.

Вообще, делать этого не рекомендуется, собственно, как для всех остальных системных компонентов. Впрочем, если вас не смущает вид окон без применения оформления, установленного для текущей темы, процесс можно отключить (завершить в «Диспетчере задач»). Заметьте, служба только отключается, и то на время. Удалить ее, даже обладая полным набором администраторских прав, невозможно (если только это не вирус). Система попросту не даст этого сделать, и абсолютно все сторонние средства окажутся бессильны. К тому же стартует процесс исключительно при запуске консольных окон, а при их отсутствии или в моменты бездействия системы в «Диспетчере задач» его нет. Да и на быстродействие компьютера эта служба особо влияния не оказывает.

Вирус conhost.exe: проверка расположения файла программы

Совершенно иная ситуация - когда в том же «Диспетчере задач» в дереве активных процессов наблюдается появление нескольких одноименных служб (по крайней мере, более двух). Это уже явный намек на присутствие в системе вирусов, которые под эту службу и маскируются. А если там присутствует еще и компонент engine.exe, все - жди неприятностей! Это - точно вирус. Но даже присутствие только одного процесса может свидетельствовать о проникновении в систему угрозы в виде вредоносных исполняемых кодов. Чаще всего это относится к троянам.

Чтобы удостовериться, что процесс является системным (или вирусным), в «Диспетчере задач», используя вкладку процессов, через меню ПКМ нужно выбрать строку открытия местоположения файла. Оригинальный файл conhost.exe всегда расположен в системной папке System32 основной директории операционной системы. Если же указана отличная от необходимо срочно принимать меры.

Проверка на предмет наличия угроз

Теперь посмотрим, как удалить conhost.exe. В принципе, ничего особо сложного здесь нет. Однако следует учесть некоторые нюансы. Прежде всего в самом «Диспетчере задач» нужно завершить все одноименные процессы. Даже если в этот момент будет оставлена оригинальная служба, ничего страшного (при рестарте она запустится снова в автоматическом режиме).

После этого необходимо использовать какой-нибудь мощный сканер, желательно портативного типа (например, Dr. Web CureIt! или KVRT). Запускать углубленное сканирование с применением уже установленного антивируса выглядит нецелесообразным, хотя бы по причине того, что он уже пропустил угрозу.

Однако, как показывает практика, наиболее действенным методом удаления такой напасти станет использование специальных дисковых программ вроде Kaspersky Rescue Disk или аналогов от других разработчиков, специализирующихся на антивирусной защите. Преимущество таких утилит состоит в том, что они имеют собственный загрузчик, и при записи на съемный носитель можно загрузиться именно с него еще до старта основной ОС. В приложении можно использовать графический интерфейс или DOS-режим. Далее нужно просто проверить всю систему, установив параметр углубленного сканирования и дождаться завершения процесса. При этом могут быть определены даже те вирусы, которые очень глубоко интегрированы в систему или даже постоянно находятся в оперативной памяти.

Вместо итога

Такова служба conhost.exe. Что за процесс происходит в системе при открытии консолей, уже понятно, равно как и то, что служба при многократном запуске может оказаться вредоносным элементом. Собственно, избавиться от такого вируса труда не составит. Необходимо просто подобрать оптимальную утилиту для проверки и удаления угрозы.

Каждый пользователь современной Windows-системы так или иначе в процессе работы вызывает Диспетчер задач, где отображаются все запущенные приложения, службы и процессы. Многие обращают внимание на системный компонент под названием conhost.exe. Что это такое, и зачем вообще нужна эта служба, сейчас и будет рассмотрено.

Что такое conhost.exe в Диспетчере задач?

Для непосвященных пользователей отметим сразу, что эта системная служба обязательна для включения. Впервые она появилась в Windows Vista, дополнив процесс csrss.exe, который изначально присутствовал в «экспишке».

Если говорить о том, что собой представляет процесс conhost.exe, простым языком, следует отметить, что он отвечает за исправление давнишней проблемы, связанной с прорисовкой консольных окон (например, окна командной строки, похожего на то, что раньше было в DOS-системах).

Аналог в Windows XP

Для начала рассмотрим любимую многими Windows XP. Может быть, некоторые юзеры замечали, что при использовании определенной темы оформления, отличной от той, которая установлена по умолчанию, консольное окно всегда выглядит в классическом «экспишном» виде.

Дело в том, что прорисовка окна возлагалась на саму систему (за это отвечал вышеуказанный процесс csrss.exe). Таким образом, изменить вид окна, чтобы оно соответствовало текущему оформлению, было невозможно.

Проблемы в Windows Vista

Для изменения такой ситуации в «Висте» была использована новая служба, за запуск которой отвечал системный файл conhost.exe. Процесс хоть и работал с более низким приоритетом, нежели csrss.exe, тем не менее в большинстве случаев исправлял внешний вид окна.

Однако, как уже говорилось выше, сама служба оказалась недоработанной, в результате чего окна имели старый вид. Кроме того, в «Висте», хотя это и задумывалось изначально, отсутствовала возможность перетаскивания файла в консольное окно из стандартного Проводника, поскольку он не имел высоких привилегий по сравнению с родительским процессом.

Изменения в Windows 7 и выше

Начиная с седьмой версии Windows служба conhost.exe претерпела кардинальные изменения. Хотя она по-прежнему в дереве приоритета процессов находится между csrss.exe и cmd.exe, тем не менее позволяет вывести на экран консольное окно в таком виде, который соответствует установленной теме.

Главное изменение коснулось того, что теперь можно было вставлять файлы из Проводника, например, прямо в окно командной строки, что выдавало на экране полный путь к указанному файлу, избавляя пользователя от необходимости его ввода в ручном режиме.

В большинстве случаев сама служба conhost.exe работает исключительно с коном командной строки. Хотя сегодня можно найти немало приложений, которые в определенной степени могут потребовать доступ к консольным окнам, их срабатывание занимает всего несколько секунд, а появление вызываемого кона происходит автоматически без участия пользователя. То есть, например, на определенном этапе установки программы на кране появляется окошко, в котором производятся какие-то действия, а по окончании процесса окно самостоятельно исчезает, что избавляет юзера от необходимости его закрытия вручную.

Служба conhost.exe запускается многократно: как лечить?

Теперь рассмотрим возможные проблемы, которые могут возникнуть в случае автономной работы этого системного модуля. Исполняемый файл находится в папке System32 главной директории Windows. Нетрудно догадаться, что если служба запущена именно посредством этого файла, ничего потенциально опасного в ней нет, и завершать ее принудительно не рекомендуется ни в коем случае.

Но бывает и такое, что в том же появляется сразу несколько одноименных процессов. Что это означает? Да только то, что в систему проник вирус, который таким простейшим образом производит собственную маскировку под системную службу. А ведь многие юзеры просто не знают, какой именно процесс нужно завершить, если вдруг наблюдаются проблемы с повышенной нагрузкой на системные ресурсы именно из-за этого компонента. К тому же если все эти процессы отключать последовательно, ничего не выйдет - вирусы активируются снова.

Среди самых известных и наиболее потенциально опасных угроз, маскирующихся под процесс conhost.exe, сегодня выделяют две: Trojan:Win32/Alureon.FM, или Backdoor:Win32/Cycbot.B и RiskTool.Win32.BitCoinMiner.amv, или Packed.Win32.Krap.hy. Как видно из классификации, это обычные трояны, которые нацелены на открытие доступа к системе с целью перехвата пользовательской информации и ее передачи третьим лицам или использования в собственных целях. В некоторых случаях возможно нарушение работы системы, как раз и связанное с повышенной нагрузкой на центральный процессор и оперативную память.

Как от этого избавиться, думается, объяснять особо не нужно. Придется использовать но только не тот, что установлен в системе по умолчанию (он уже пропустил вирус), а какую-нибудь портативную утилиту наподобие KVRT «Лаборатории Касперского», Dr. Web CurIt! и т. д. Если и они не помогут, тогда следует задействовать, тяжелую артиллерию в виде специальных утилит с общим названием Rescue Disk. Как уже можно догадаться, наиболее мощными в этом отношении являются именно продукты Kaspersky и Dr. Web. Это признано и экспертами, и рядовыми юзерами.

Вы, несомненно, читаете эту статью, потому что наткнулись на процесс Console Window Host (conhost.exe) в диспетчере задач и задаетесь вопросом, что это такое. У меня есть ответ для вас.

Эта статья является частью серии, объясняющей различные процессы, обнаруженные в диспетчере задач, такие как , svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe и многие другие. Не знаете, что это такое? !

Итак, что такое процесс conhost.exe?

Понимание процесса Console Window Host требует немного истории. В дни Windows XP командная строка обрабатывалась процессом с именем ClientServer Runtime System Service (CSRSS). Как следует из названия, CSRSS был сервисом на системном уровне. Это создало пару проблем. Во-первых, сбой в CSRSS мог привести к сбою всей системы, которая выявила не только проблемы с безопасностью, но и возможные уязвимости безопасности. Вторая проблема заключалась в том, что CSRSS не может быть тематическим, потому что разработчики не хотели подвергать риску программный код для запуска в системном процессе. Таким образом, командная строка всегда имела классический вид, и не использовала новые элементы интерфейса.

Обратите внимание на скриншот Windows XP ниже, командная строка не получает тот же стиль, что и приложения, например, «Блокнот».

Windows Vista представила Desktop Window Manager - службу, которая «рисует» составные виды окон на вашем рабочем столе, вместо того чтобы позволить каждому отдельному приложению использовать их самостоятельно. Командная строка получила некоторые поверхностные темы (например, стеклянную рамку, присутствующую в других окнах), но это произошло за счет возможности перетаскивания файлов, текста и т. д. в окно командной строки.

Тем не менее, эта тематика не зашла так далеко. Если вы посмотрите на консоль в Windows Vista, похоже, что она использует ту же тему, что и все остальные, но вы заметите, что полосы прокрутки по-прежнему используют старый стиль. Это связано с тем, что диспетчер окон рабочего стола обрабатывает чертежи и рамки заголовков, но старое окно CSRSS все еще находится внутри.

Войдите в Windows 7 и Console Window Host process. Как видно из названия, это хост-процесс для окна консоли. Сорт процесса находится посередине между CSRSS и командной строкой (cmd.exe), позволяя Windows исправить обе предыдущие проблемы - элементы интерфейса, такие как полосы прокрутки, рисуются правильно, и вы можете снова перетащить их в командную строку. И это метод, который все еще используется в Windows 8 и 10, что позволяет использовать все новые элементы интерфейса и стили, которые появились с Windows 7.

Несмотря на то, что диспетчер задач представляет Console Window Host как отдельный объект, он все еще тесно связан с CSRSS. Если вы проверите процесс conhost.exe в , вы увидите, что он действительно работает под процессом csrss.ese.

В конце концов, Console Window Host является чем-то вроде оболочки, которая поддерживает возможность запуска службы на системном уровне, такой как CSRSS, но при этом предоставляет возможность интеграции современных элементов интерфейса.

Почему существует несколько экземпляров процесса?

Вы часто увидите несколько экземпляров процесса Console Window Host, запущенных в диспетчере задач. Каждый экземпляр командной строки запускает свой собственный процесс Console Window. Кроме того, в других приложениях, использующих командную строку, будет создан собственный процесс Console Window, даже если вы не увидите для них активного окна. Хорошим примером этого является приложение Plex Media Server, которое работает как фоновое приложение и использует командную строку, чтобы сделать ее доступной для других устройств в вашей сети.

Многие фоновые приложения работают таким образом, поэтому нет ничего необычного в том, что несколько экземпляров процесса Console Window работают в любой момент времени. Это нормальное поведение. По большей части каждый процесс должен занимать очень мало памяти (обычно менее 10 МБ) и почти нулевой ЦП, если процесс не активен.

Тем не менее, если вы заметили, что конкретный экземпляр Console Window Host или связанная с ним служба вызывает проблемы, такие как постоянное чрезмерное использование ЦП или ОЗУ, вы можете проверить конкретные приложения, которые задействованы. Это может по крайней мере дать вам представление о том, где начать поиск и устранение неисправностей. К сожалению, сам диспетчер задач не предоставляет хорошую информацию об этом. Хорошей новостью является то, что Microsoft предоставляет отличный передовой инструмент для работы с процессами в составе линейки Sysinternals. Просто загрузите Process Explorer и запустите его - это портативное приложение, поэтому нет необходимости его устанавливать. Process Explorer предоставляет всевозможные расширенные функции - и я настоятельно рекомендую прочитать руководство по пониманию Process Explorer, чтобы узнать больше.

Самый простой способ отслеживать эти процессы в Process Explorer - сначала нажать Ctrl + F, чтобы начать поиск. Найдите «conhost», а затем щелкните результаты. Когда вы это сделаете, вы увидите изменение основного окна, которое покажет вам приложение (или службу), связанное с этим конкретным экземпляром Console Window Host.

Если чрезмерное использование ЦП или ОЗУ, вызывает у вас беспокойство, по крайней мере, вы сузите поиск к определенному приложению.

Может ли этот процесс быть вирусом?

Сам процесс является официальным компонентом Windows. Хотя возможность, что вирус заменил реальный Console Window Host собственным исполняемым файлом, маловероятно. Если вы хотите быть уверенным, вы можете проверить базовое расположение файла процесса. В диспетчере задач щелкните правой кнопкой мыши на процессе и выберите опцию «Открыть расположение файла».

Если файл хранится в вашей папке Windows\System32, вы можете быть уверены, что не имеете дело с вирусом.

На самом деле есть троян, называемый Conhost Miner, который маскируется как процесс Console Window Host. В диспетчере задач он выглядит так же, как и реальный процесс, но место расположения покажет, что он хранится в %userprofile%\AppData\Roaming\Microsoft а не в папке Windows\System32. Троян действительно используется для захвата вашего компьютера, поэтому необычное поведение, которое вы можете заметить, заключается в использовании памяти выше, чем вы могли ожидать, а использование ЦП поддерживается на очень высоких уровнях (часто выше 80%).

Конечно, использование хорошего антивирусного сканера - лучший способ предотвратить (и удалить) вредоносное ПО, например, Conhost Miner, и это то, что вы должны делать в любом случае. Береженого Бог бережет!

Понимание процесса консоли Windows требует немного истории. В дни Windows XP командная строка обрабатывалась процессом с именем ClientServer Runtime System Service (CSRSS).

Как следует из названия, CSRSS был сервисом системного уровня. Это создало пару проблем. Во-первых, сбой в CSRSS мог привести к сбою всей системы, что создавало возможные уязвимости безопасности. Вторая проблема заключалась в том, что CSRSS не мог быть тематическим, потому что разработчики не хотели подвергать риску код темы для запуска в системном процессе. Таким образом, командная строка всегда имела классический вид, а не использовала новые элементы интерфейса.

Обратите внимание на скриншот Windows XP ниже: командная строка не имела даже того стиля, какой уже был у приложения «Блокнот» .

В Windows Vista была представлена Desktop Window Manager – служба, которая «отрисовывает» составные части окон на вашем рабочем столе, но не позволяет каждому отдельному дескриптору приложения работать самостоятельно.

Благодаря этому, командная строка получила некоторые поверхностные темы (например, стеклянную рамку, присутствующую в других окнах), но это произошло за счет возможности перетаскивания файлов, текста и т.д. в окно командной строки.

Тем не менее, эта стилизация не зашла далеко. Если вы посмотрите на консоль в Windows Vista, то заметите, что она использует ту же тему, что и все остальные окна, но полосы прокрутки по-прежнему используют старый стиль. Это связано с тем, что диспетчер окон рабочего стола обрабатывает заголовки и рамки окон, но внутри всё ещё находится старое окно CSRSS.

В Windows 7 появился процесс узла окна консоли Windows. Как следует из названия, это хост-процесс для консольного окна. Процесс находится посередине между CSRSS и командной строкой (cmd.exe), что позволяет Windows исправлять обе предыдущие проблемы – элементы интерфейса, такие как полосы прокрутки, и вы можете перетаскивать файлы в командную строку. Это метод всё еще используется в Windows 8 и 10, позволяя добавлять новые элементы интерфейса и стили, которые появились вместе с Windows 7.

Несмотря на то, что диспетчер задач представляет консольный Window Host как отдельный объект, он все еще тесно связан с CSRSS. Если вы проверите процесс conhost.exe в Process Explorer, то увидите, что он действительно работает под процессом csrss.exe.

В конце концов, консольный Window Host является чем-то вроде оболочки, которая поддерживает возможность запуска службы на системном уровне, такой как CSRSS, но при этом предоставляет возможность интегрировать современные элементы интерфейса.

Почему запускается несколько процессов conhost.exe

Вы часто можете видеть несколько экземпляров процесса консоли Windows (conhost.exe) , запущенных в диспетчере задач. Каждый экземпляр командной строки запускает свой собственный процесс Host Window консоли.

Кроме того, в других приложениях, использующих командную строку, будет создан собственный процесс консоли, даже если вы не увидите для них активного окна.

Хорошим примером этого является приложение Plex Media Server, которое работает как фоновое приложение и использует командную строку, чтобы сделать её доступной для других устройств в вашей сети.

Многие работают таким образом, поэтому нередко можно увидеть несколько экземпляров процесса консоли Windows. Это нормальное поведение. По большей части, каждый процесс должен занимать очень мало памяти (обычно менее 10 МБ) и почти нулевой ЦП, если процесс не активен.

Тем не менее, если заметили, что конкретный экземпляр Console Window Host или связанный с ним сервис вызывает проблемы, такие как постоянное чрезмерное использование ЦП или ОЗУ, вы можете проверить конкретные приложения. Это может дать Вам представление о том, где начать поиск и устранение неисправностей.

К сожалению, сам диспетчер задач не предоставляет хорошую информацию об этом. Хорошей новостью является то, что Microsoft предоставляет отличный инструмент для работы с процессами в составе линейки Sysinternals. Просто загрузите Process Explorer и запустите его – это портативное приложение , поэтому нет необходимости его устанавливать. Process Explorer предоставляет расширению информацию по всем процессам.

Самый простой способ отслеживать эти процессы в Process Explorer – нажать Ctrl + F , чтобы начать поиск. Найдите «conhost», а затем щелкните результаты. Вы увидите изменение основного окна, которые покажут Вам приложение (или службу), связанное с этим конкретным экземпляром консоли Windows.

Может ли процесс conhost.exe быть вирусом

Сам процесс является официальным компонентом Windows. Хотя возможно, что вирус заменил реальный консольный Window Host собственным исполняемым файлом, но это маловероятно .

Если Вы хотите быть уверенным, вы можете проверить базовое расположение файла процесса. В диспетчере задач щелкните правой кнопкой мыши любой процесс conhost.exe и выберите опцию «Открыть расположение файла».

Если файл хранится в папке Windows\System32, то Вы можете быть уверены, что не имеете дело с вирусом.

На самом деле, существует троянец, названный Conhost Miner, который маскируется как процесс conhost.exe. В диспетчере задач он выглядит точно так же, как и реальный процесс, но простые действия покажут, что он фактически хранится в %userprofile%\AppData\Roaming\Microsoft, а не в Windows\System32.

Троян используется для захвата вашего компьютера в целях добычи криптовалюты, что можно заметить по растущей нагрузке на память и ЦП (часто выше 80%).

Конечно, использование хорошего антивирусного сканера – лучший способ предотвратить заражение вредоносным ПО. Береженого Бог бережёт!

Вернемся к диспетчеру задач и к тому что в нем творится, а именно к тому, что такое conhost.exe в диспетчере задач, зачем он нужен и можно ли его удалить. Conhost.exe отвечает за работу консольных окон, в XP его еще не было, он появился в Vista, однако там работал с глюками.

Процесс нужный и безопасный, то есть выключать его просто так нельзя, но посмотрите где он расположен (в диспетчере правой кнопкой по процессу и там можно выбрать расположение), он должен быть только тут — C:\Windows\System32, а если он лежит в другой папке, то может быть и вирусняк какой-то залез на комп!

В Windows 7 и более современных ОС, внешний вид командной строки обрабатывается именно этим процессом, и это одно из весомых улучшение по сравнению с XP (там этим руководил csrss.exe). Он теперь стоит как бы прослойкой между cmd.exe и csrss.exe.

То есть другими словами, черное окно консоли благодаря этому процессу и имеет более современный вид с визуальными эффектами, потому за внешний вид его отвечает проводник (а вот в XP оно всегда было в одном классическом оформлении). Именно conhost.exe делает так, что командной стройкой намного удобнее пользоваться — и перетаскивать можно прямо из папки в консоль файл, чтобы в консоли появился путь к нему. В Vista не все эти фишки были доступны, там еще была безопасность под вопросом

Процесс conhost.exe будет в диспетчере виден только если вы сами открыли командную строку, ну, или это сделали программы. Также часто консоль в скрытом режиме используют инсталляционные пакеты.

Вот у меня Windows 10 и такого процесса не было, но стоило запустить командную строку, как он сразу появился:

Теперь посмотрим характеристики, только опять же напомню, что у меня это «десятка», у вас может быть другая система и другие сведения, итак вот что выдает подсказка:

Если у вас процессов много, а также к этому еще ест engine.exe, тут точно нужно проверить компьютер на вирусы. Вот пример подозрительной активности процессов:

Еще дам вам такой совет, если вы видите conhost.exe в диспетчере задач, но при этом на компьютере ничего не делаете, программы не устанавливаете, но кажется что комп что-то делает — это реально может быть вирус, который использует консоль (а из-за нее ведь и появляется процесс conhost.exe) в своих целях, тут вам нужно как можно быстрее проверить комп!

Проверить на вирусы можно как Dr.Web CureIt!, так и сканером Eset, я лично рекомендую последний просто потому что он мне не один раз помогал Он работает без установки, то есть нужно зайти на сайт через Internet Explorer (чтобы он работал прямо в браузере) и запустить его, при этом будут загружены антивирусные базы и только потом начата проверка. О том, как запустить проверку я написал в статье (правда во второй ее половине!). На этом все, хочу вам дать еще совет, ваш компьютер будет намного в большой безопасности, а вам будет легче ней управлять, если вы познакомитесь с таким инструментом как фаервол. Именно при помощи него можно поставить под контроль доступ в интернет программам, так вы о левых программах узнаете очень быстро. Удачи