Вероятно няма потребители на операционната система в света, които някога са стартирали "Task Manager", за да изпълнят приложението на plug-in или да видят работата на компютъра. Само от време на време в дърво активно в момента на процеса, много потребители обръщат внимание на присъствието в списъка на услуга под формата на изпълним файл conhost.exe. Какво процесът "виси" в системата, особено никой не разбира, считайки го за вирус (особено ако е стартиран многократно). Всъщност, тя може да бъде заплаха, но не винаги.
Първо, необходимо е да се разбере какво представлява този процес и че той е отговорен за него.
Самият процес се отнася до системните услуги на Windows и се е появил в Windows XP. Той е отговорен за отварянето на конзолни прозорци като команден ред или PowerShell. Неговата основна цел е да отвори конзолен прозорец, използвайки оформлението, определено за текущата тема, което е зададено за всички графични елементи, включително за прозорци.
Защо ви е нужна услугата conhost.exe?
За да бъдем по-ясни, нека разгледаме всички Windows XP. Вероятно много хора са забелязали, че когато темата е зададена по подразбиране, всички програми имат един и същ дизайн, например под формата на обемна синя шапка отгоре. Но когато се нарича същия команден ред, прозорецът изглежда различен (в стандартния дизайн на старите системи). Че прозорецът е малъктекущата тема и системният компонент conhost.exe е разработен. Прозорецът на конзолата на възела, когато се изпълни сам, се отваря точно във формата, в която са представени всички останали прозорци.
Въпреки това, основният проблем на първо време беше, че тази услуга в XP беше очевидно неточна, поради което прозорците не се отваряха във формата, а понякога дори и цялата система замръзваше. В News услугата беше променена, въпреки че тя работеше с приоритет по-ниска от компонента scrss.exe, който XP първоначално беше отговорен за проектирането на конзолни прозорци. Но тук имаше много проблеми.
И едва след седмата модификация услугата е радикално променена. Въпреки факта, че неговото приоритетно повикване и изпълнение продължава между нивата на scrss cmd, конзолните прозорци при появяването на съответните програми започнаха да изглеждат така, както са (например в дизайна на темата Aero).
Мога ли да изключа услугата?
Това е кратка услуга за conhost.exe. Какъв процес пред нас изглежда малко ясен. Сега няколко думи за това дали можете да изключите този процес. По принцип това не се препоръчва, както за всички други компоненти на системата. Въпреки това, ако не сте объркани с появата на прозорци, без да прилагате регистрационния набор за текущата тема, процесът може да бъде деактивиран (попълнете в "Task Manager"). Обърнете внимание, че услугата е изключена и след това наведнъж. Не можете да го изтриете, дори ако имате пълен набор от административни права (освен ако не е вирус). Системата просто няма да направи това иабсолютно всички фондове на трети страни ще бъдат безсилни. В допълнение, процесът започва само когато стартирате прозореца на конзолата, а при липса на тях или в моментите на празен ход на системата в "Task Manager" не е така. Да, и работата на компютъра, тази услуга не е особено засегната.
Вирус Conhost.exe: проверка на местоположението на програмния файл
Съвсем различна ситуация е, когато се наблюдава появата на няколко услуги със същото име (най-малко две) в същия "Task Manager" в дървото на активните процеси. Това вече е очевиден намек за наличието в системата на вируси, които са под тази услуга и маскирани. И ако има и компонент engine.exe всички - изчакайте за проблеми! Това е като вирус. Но дори и наличието само на един процес може да покаже въвеждането на заплаха под формата на злонамерени изпълними кодове. Най-често се отнася до троянски коне.
За да сте сигурни, че процесът е системен (или вирусен), в диспечера на задачите, като използвате раздела процес, трябва да изберете началния ред на файла от менюто PCM. Оригиналният файл conhost.exe винаги се намира в системната папка на главната директория на System32 на System32. Ако посоченото е различно от това място, трябва да се вземат спешни мерки.
Проверка за заплахи
Сега нека разгледаме как да премахнем conhost.exe. По принцип тук няма нищо особено сложно. Трябва обаче да вземете предвид някои нюанси. На първо място, в "Task Manager", трябва да завършите всички същите процеси. Дори в този момент първоначалната услуга да остане, нищоужасно (когато рестартирате ще започне отново в автоматичен режим).
След това трябва да използвате някакъв мощен скенер, за предпочитане преносим тип (като Dr. Web CureIt !, или KVRT). Извършването на задълбочено сканиране с вече инсталиран антивирусен софтуер не изглежда полезно, поне защото вече е пропуснало заплахата.
Въпреки това, както показва практиката, най-ефективният метод за отстраняване на такава атака ще бъде използването на специални дискови програми като Kaspersky Rescue Disk или аналози от други разработчици, специализирани в антивирусна защита. Предимството на такива помощни програми е, че те имат свой собствен зареждащ механизъм и когато пишете на сменяемия носител, можете да стартирате от него преди началото на основната операционна система. В приложението можете да използвате графичен интерфейс или DOS режим. След това трябва само да проверите цялата система, като зададете разширен параметър за сканиране и изчакайте завършването на процеса. В този случай могат да бъдат идентифицирани дори вирусите, които са дълбоко интегрирани в системата или дори постоянно в RAM.
Вместо резултат
такава услуга е conhost.exe. Това, което се случва в системата при отварянето на конзолите, вече е ясно, както и фактът, че услугата с множество пускове може да бъде вреден елемент. Всъщност, да се отървем от такъв вирус няма да работи. Просто трябва да изберете най-добрата програма за проверка и премахване на заплахата.
