Проблеми у Windows Vista

Якщо ви читаєте цю статтю означає вам цікаво що таке conhost.exe процес, що він робить у
диспетчер завдань, і чому він працює в Windows 7.

Процес Conhost.exe- це вирішення фундаментальної проблеми обробки консольних вікон
У попередніх версіях Windows, він працював з помилками в Vista, а в Windows ХР його взагалі
не було.

Він абсолютно безпечний якщо запущений та працює з папки C:\Windows\system32\conhost.exe.
Але сканування комп'ютера на наявність вірусів ніколи не завадить.
Якщо він знаходиться в іншому місці, то, швидше за все, це вірус або шкідлива програма.

Windows 7 покращено таким чином, що візуальні вікна консолі обробляє сама
операційна система. У попередніх версіях Windows процес консолі працював під керуванням
процесу csrss.exe (Client Server Runtime Process). Він запускався від системної привілейованої
облікового запису.

Якщо подивитися на вікно командного рядка в Windows XP, то можна помітити, що воно завжди має
класичний вигляд, незалежно від того, яку тему Windows ви використовуєте на вашому
комп'ютер. Це пов'язано з тим, що вікно консолі формує не провідник windows explorer.exe, а
згадана вище служба csrss.exe.

Вікно консолі в Windows Vista, використовує ту ж тему, що й усі інші вікна, але якщо
Придивитися уважно те видно, що смуги прокручування все ще використовують старий стиль. Це
пов'язано з тим, що DWM (Desktop Window Manager) керує процесом малювання зовнішнього вигляду
вікна, але процес працює так само як і в Windows XP, а смуги прокручування є частиною
самого вікна.

Conhost.exeсидить у середині між CSRSSі cmd.exeта виправляє у Windows 7
проблеми попередніх версій Windows, не тільки робить правильними смуги прокручування, але і
дозволяє перетягнути файл із провідника прямо в командний рядок:

Іноді помилки conhost.exe та інші системні помилки EXE можуть бути пов'язані з проблемами у реєстрі Windows. Декілька програм може використовувати файл conhost.exe, але коли ці програми видалені або змінені, іноді залишаються "осиротілі" (помилкові) записи реєстру EXE.

В принципі, це означає, що в той час, як фактичний шлях до файлу міг бути змінений, його неправильне колишнє розташування досі записано в реєстрі Windows. Коли Windows намагається знайти файл за цим неправильним посиланням (на розташування файлів на вашому комп'ютері), може виникнути помилка conhost.exe. Крім того, зараження шкідливим програмним забезпеченням могло пошкодити записи реєстру, пов'язані з Windows 7 Home Premium. Таким чином, ці пошкоджені записи реєстру EXE необхідно виправити, щоб усунути проблему в корені.

Редагування реєстру Windows вручну з метою видалення ключів conhost.exe, що містять помилки, не рекомендується, якщо ви не є фахівцем з обслуговування ПК. Помилки, допущені під час редагування реєстру, можуть призвести до непрацездатності вашого ПК і завдати непоправної шкоди вашій операційній системі. Насправді навіть одна кома, поставлена ​​не в тому місці, може перешкодити завантаженню комп'ютера!

У зв'язку з подібним ризиком ми рекомендуємо використовувати надійні інструменти очищення реєстру, такі як %%product%% (розроблений Microsoft Gold Certified Partner), щоб просканувати та виправити будь-які проблеми, пов'язані з conhost.exe. Використовуючи очищення реєстру, ви зможете автоматизувати процес пошуку пошкоджених записів реєстру, посилань на відсутні файли (наприклад, викликають помилку conhost.exe) та неробочих посилань усередині реєстру. Перед кожним скануванням автоматично створюється резервна копія, яка дозволяє скасувати будь-які зміни одним кліком та захищає вас від можливого пошкодження комп'ютера. Найприємніше, що усунення помилок реєстру може різко підвищити швидкість та продуктивність системи.

Попередження:Якщо ви не є досвідченим користувачем ПК, ми не рекомендуємо редагувати реєстр Windows вручну. Некоректне використання Редактора реєстру може призвести до серйозних проблем і вимагати повторної інсталяції Windows. Ми не гарантуємо, що проблеми, які є результатом неправильного використання Редактора реєстру, можуть бути усунені. Ви користуєтеся Редактором реєстру на свій страх та ризик.

Перед тим, як вручну відновлювати реєстр Windows, необхідно створити резервну копію, експортувавши частину реєстру, пов'язану з conhost.exe (наприклад, Windows 7 Home Premium):

1. Натисніть на кнопку Почати.
2. Введіть " command" рядку пошуку... ПОКИ НЕ НАТИСНІТЬ ENTER!
3. Утримуючи клавіші CTRL-Shiftна клавіатурі, натисніть ENTER.
4. Буде відображено діалогове вікно для доступу.
5. Натисніть Так.
6. Чорний ящик відкривається миготливим курсором.
7. Введіть " regedit" та натисніть ENTER.
8. У Редакторі реєстру виберіть ключ, пов'язаний із conhost.exe (наприклад, Windows 7 Home Premium), для якого потрібно створити резервну копію.
9. В меню ФайлВиберіть Експорт.
10. В списку Зберегти увиберіть папку, до якої потрібно зберегти резервну копію ключа Windows 7 Home Premium.
11. В полі ім'я файлувведіть назву файлу резервної копії, наприклад, Windows 7 Home Premium резервна копія.
12. Переконайтеся, що у полі Діапазон експортувибрано значення Вибрана гілка.
13. Натисніть Зберегти.
14. Файл буде збережено з розширенням.reg.
15. Тепер у вас є резервна копія запису реєстру, пов'язаного з conhost.exe.

Наступні кроки при ручному редагуванні реєстру не будуть описані в цій статті, оскільки з ймовірністю можуть призвести до пошкодження вашої системи. Якщо ви бажаєте отримати більше інформації про редагування реєстру вручну, будь ласка, ознайомтеся з посиланнями нижче.

Розуміння процесу консолі Windows потребує небагато історії. У дні Windows XP командний рядок оброблявся процесом під назвою ClientServer Runtime System Service (CSRSS).

Як випливає із назви, CSRSS був сервісом системного рівня. Це створило кілька проблем. По-перше, збій у CSRSS міг призвести до збою всієї системи, що створювало можливі уразливості безпеки. Друга проблема полягала в тому, що CSRSS не міг бути тематичним, тому що розробники не хотіли ризикувати код теми для запуску в системному процесі. Таким чином, командний рядок завжди мав класичний вигляд, а не використовував нові елементи інтерфейсу.

Зверніть увагу на скріншот Windows XP нижче: командний рядок не мав навіть того стилю, який вже був у додатку «Блокнот».

У Windows Vista було представлено Desktop Window Manager– служба, яка «відмальовує» складові вікон на вашому робочому столі, але не дозволяє кожному окремому дескриптору програми працювати самостійно.

Завдяки цьому командний рядок отримав деякі поверхневі теми (наприклад, скляну рамку, присутню в інших вікнах), але це сталося за рахунок можливості перетягування файлів, тексту і т.д. у вікно командного рядка.

Проте ця стилізація не зайшла далеко. Якщо ви подивіться на консоль у Windows Vista, то помітите, що вона використовує ту ж тему, що й інші вікна, але смуги прокручування як і раніше використовують старий стиль. Це пов'язано з тим, що диспетчер вікон робочого столу обробляє заголовки та рамки вікон, але всередині все ще знаходиться старе вікно CSRSS.

У Windows 7 виник процес вузла вікна консолі Windows. Як випливає із назви, це хост-процес для консольного вікна. Процес знаходиться посередині між CSRSS і командним рядком (cmd.exe), що дозволяє Windows виправляти обидві попередні проблеми - елементи інтерфейсу, такі як смуги прокручування, і ви можете перетягувати файли в командний рядок. Цей метод все ще використовується в Windows 8 і 10, дозволяючи додавати нові елементи інтерфейсу та стилі, які з'явилися разом із Windows 7.

Незважаючи на те, що диспетчер завдань представляє консольний Window Host як окремий об'єкт, він все ще тісно пов'язаний із CSRSS. Якщо ви перевірите процес conhost.exe в Process Explorer, побачите, що він дійсно працює під процесом csrss.exe.

Зрештою, консольний Window Host є чимось на зразок оболонки, яка підтримує можливість запуску служби на системному рівні, такій як CSRSS, але при цьому надає можливість інтегрувати сучасні елементи інтерфейсу.

Чому запускається кілька процесів conhost.exe

Ви часто можете бачити кілька екземплярів процесу консолі Windows (conhost.exe), запущених у диспетчері завдань. Кожен екземпляр командного рядка запускає свій власний процес Host Window консолі.

Крім того, в інших програмах, які використовують командний рядок, буде створено власний процес консолі, навіть якщо ви не побачите для них активного вікна.

Хорошим прикладом цього є програма Plex Media Server, яка працює як фонова програма і використовує командний рядок, щоб зробити її доступною для інших пристроїв у вашій мережі.

Багато хто працює таким чином, тому нерідко можна побачити кілька екземплярів процесу консолі Windows. Це нормальна поведінка. Здебільшого кожен процес повинен займати дуже мало пам'яті (зазвичай менше 10 МБ) і майже нульовий ЦП, якщо процес не активний.

Тим не менш, якщо помітили, що конкретний екземпляр Console Window Host або пов'язаний з ним сервіс викликає проблеми, такі як постійне надмірне використання ЦП або ОЗУ, ви можете перевірити конкретні програми. Це може дати Вам уявлення про те, де розпочати пошук та усунення несправностей.

На жаль, сам диспетчер завдань не надає хорошої інформації про це. Хорошою новиною є те, що Microsoft надає чудовий інструмент для роботи з процесами у складі лінійки Sysinternals. Просто завантажте Process Explorer і запустіть його – це портативний додатоктому немає необхідності його встановлювати. Process Explorer надає розширенню інформацію з усіх процесів.

Найпростіший спосіб відстежувати ці процеси в Process Explorer– натиснути Ctrl+F, щоб почати пошук. Знайдіть "conhost", а потім клацніть результати. Ви побачите зміну основного вікна, які покажуть Вам програму (або службу), пов'язану з конкретним екземпляром консолі Windows.

Чи може процес conhost.exe бути вірусом

Сам процес є офіційним компонентом Windows. Хоча можливо, що вірус замінив реальний консольний Window Host власним файлом, що виконується, але це малоймовірно.

Якщо ви хочете бути впевненим, ви можете перевірити базове розташування файлу процесу. У диспетчері завдань клацніть правою кнопкою миші будь-який процес conhost.exe і виберіть опцію «Відкрити розташування файлу».

Якщо файл зберігається в папці Windows\System32, Ви можете бути впевнені, що не маєте справу з вірусом.

Насправді існує троянець, названий Conhost Miner, який маскується як процес conhost.exe. У диспетчері завдань він виглядає так само, як і реальний процес, але прості дії покажуть, що він фактично зберігається в %userprofile%\AppData\Roaming\Microsoft, а не в Windows\System32.

Троян використовується для захоплення вашого комп'ютера з метою видобутку криптовалюти, що можна помітити за зростаючим навантаженням на пам'ять і ЦП (часто вище 80%).

Звичайно, використання хорошого антивірусного сканера – найкращий спосіб запобігти зараженню шкідливим ПЗ. Береженого Бог береже!

Напевно, у світі немає жодного користувача операційних систем Windows, який хоч колись не запускав би «Диспетчер завдань» для завершення якоїсь програми, що зависла, або для перегляду продуктивності комп'ютера. Ось тільки іноді в дереві активних на даний момент процесів багато користувачів звертають увагу на присутність у списку певної служби у вигляді файлу conhost.exe, що виконується. Що за процес «висить» у системі, до ладу особливо ніхто не розуміється, вважаючи його вірусом (особливо якщо він запущений багаторазово). Справді, може бути загрозою, але не завжди.

Conhost.exe: що за процес спостерігається у «Диспетчері завдань»?

Перш за все потрібно розібратися, що являє собою даний процес і відповідальний за нього виконуваний файл.

Сам процес відноситься до системних служб Windows і з'явився ще Windows XP. Він відповідає за відкриття консольних вікон на зразок командного рядка або PowerShell. Основне його призначення - відкриття вікна консолі із застосуванням оформлення, заданого для поточної теми, встановленої всім графічних елементів, зокрема вікон.

Навіщо потрібна служба conhost.exe?

Щоб було зрозуміліше, розглянемо ту саму Windows XP. Ймовірно, багато хто звертав увагу, що при встановленій за замовчуванням темі вікна всіх програм мають однакове оформлення, наприклад, у вигляді об'ємної синьої шапки зверху.

Але коли викликається той самий командний рядок, вікно виглядає інакше (у стандартному оформленні старих систем). Щоб вікно мало вигляд поточної теми, був розроблений системний компонент conhost.exe. Вікно консолі вузла при спрацьовуванні файлу, що виконується, відкривається саме в тому вигляді, в якому представлені всі інші вікна.

Однак найголовніша проблема спочатку полягала в тому, що ця служба в XP була явно недопрацьована, через що вікна відчинялися не в тому вигляді, а іноді навіть спостерігалося зависання всієї системи. У «Віст» служба була модифікована, хоча і працювала з пріоритетом рангом нижче, ніж компонент scrss.exe, який в XP спочатку відповідав за оформлення консольних вікон. Але й тут спостерігалося багато проблем.

І тільки з сьомої модифікації служба була перероблена кардинально. Незважаючи на те, що її пріоритет виклику та виконання зберігся між рівнями scrss та cmd, консольні вікна при викликі відповідних програм стали виглядати як належить (наприклад, в оформленні теми Aero).

Чи можна вимкнути службу?

Такою є коротко служба conhost.exe. Що за процес перед нами, здається, трохи зрозуміло. Тепер кілька слів про те, чи можна вимкнути цей процес.

Взагалі, робити цього не рекомендується, власне, як для решти системних компонентів. Втім, якщо вас не бентежить вигляд вікон без застосування оформлення, встановленого для поточної теми, можна вимкнути процес (завершити в «Диспетчері завдань»). Зауважте, служба тільки відключається, і то на якийсь час. Видалити її, навіть маючи повний набір адміністраторських прав, неможливо (якщо тільки це не вірус). Система просто не дасть цього зробити, і всі сторонні кошти виявляться безсилі. До того ж, стартує процес виключно при запуску консольних вікон, а за їх відсутності або в моменти бездіяльності системи в «Диспетчері завдань» його немає. Та й на швидкодію комп'ютера ця служба особливо не впливає.

Вірус conhost.exe: перевірка розташування файлу програми

Зовсім інша ситуація – коли в тому ж «Диспетчері завдань» у дереві активних процесів спостерігається поява кількох однойменних служб (принаймні більше двох). Це вже явний натяк на присутність у системі вірусів, які під цю службу маскуються. А якщо там присутній ще й компонент engine.exe, все - чекай на неприємності! Це – точно вірус. Але навіть присутність тільки одного процесу може свідчити про проникнення в систему загрози у вигляді шкідливих кодів, що виконуються. Найчастіше це стосується троян.

Щоб переконатися, що процес є системним (або вірусним), у «Диспетчері задач», використовуючи вкладку процесів, через меню ПКМ потрібно вибрати рядок відкриття розташування файлу. Оригінальний файл conhost.exe завжди розташований у системній папці System32 основної директорії операційної системи. Якщо ж зазначена відмінність від необхідно терміново вживати заходів.

Перевірка щодо наявності загроз

Тепер побачимо, як видалити conhost.exe. У принципі нічого особливо складного тут немає. Проте, слід врахувати деякі нюанси. Насамперед у самому «Диспетчері завдань» потрібно завершити всі однойменні процеси. Навіть якщо в цей момент буде залишено оригінальну службу, нічого страшного (при рестарті вона запуститься знову в автоматичному режимі).

Після цього необхідно використовувати якийсь потужний сканер, бажано портативного типу (наприклад, Dr. Web CureIt! або KVRT). Запускати поглиблене сканування із застосуванням вже встановленого антивіруса виглядає недоцільним, хоча б через те, що він уже пропустив загрозу.

Однак, як показує практика, найбільш дієвим методом видалення такої напасті стане використання спеціальних дискових програм на кшталт Kaspersky Rescue Disk або аналогів інших розробників, що спеціалізуються на антивірусному захисті. Перевага таких утиліт полягає в тому, що вони мають власний завантажувач і при записі на знімний носій можна завантажитися саме з нього ще до старту основної ОС. У програмі можна використовувати графічний інтерфейс або DOS-режим. Далі потрібно просто перевірити всю систему, встановивши параметр поглибленого сканування та дочекатися завершення процесу. При цьому можуть бути визначені навіть ті віруси, які дуже глибоко інтегровані в систему або постійно знаходяться в оперативній пам'яті.

Замість підсумку

Такою є служба conhost.exe. Що за процес відбувається в системі при відкритті консолей, вже зрозуміло, як і те, що служба при багаторазовому запуску може виявитися шкідливим елементом. Власне, позбавитися такого вірусу праці не складе. Необхідно просто підібрати оптимальну утиліту для перевірки та видалення загрози.

Ви, безперечно, читаєте цю статтю, тому що натрапили на процес Console Window Host (conhost.exe) в диспетчері завдань і запитуєте, що це таке. Я маю відповідь для вас.

Ця стаття є частиною серії, яка пояснює різні процеси, виявлені в диспетчері завдань, такі як , svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe та багато інших. Чи не знаєте, що це таке? !

Отже, що таке conhost.exe?

Розуміння процесу Console Window Host потребує трохи історії. У дні Windows XP командний рядок оброблявся процесом під назвою ClientServer Runtime System Service (CSRSS). Як випливає із назви, CSRSS був сервісом на системному рівні. Це створило кілька проблем. По-перше, збій у CSRSS міг призвести до збою всієї системи, яка виявила не лише проблеми з безпекою, а й можливі вразливості безпеки. Друга проблема полягала в тому, що CSRSS не може бути тематичним, тому що розробники не хотіли ризикувати програмний код для запуску в системному процесі. Таким чином, командний рядок завжди мав класичний вигляд і не використовував нових елементів інтерфейсу.

Зверніть увагу на скріншот Windows XP нижче, командний рядок не отримує той самий стиль, що й програми, наприклад, Блокнот.

Windows Vista представила Desktop Window Manager - службу, яка "малює" складові види вікон на вашому робочому столі, замість того щоб дозволити кожному окремому додатку використовувати їх самостійно. Командний рядок отримав деякі поверхневі теми (наприклад, скляну рамку, яка є в інших вікнах), але це сталося за рахунок можливості перетягування файлів, тексту і т. д. у вікно командного рядка.

Проте ця тематика не зайшла так далеко. Якщо ви подивіться на консоль у Windows Vista, схоже, що вона використовує ту ж тему, що й інші, але ви помітите, що смуги прокручування, як і раніше, використовують старий стиль. Це пов'язано з тим, що диспетчер вікон робочого столу обробляє креслення та рамки заголовків, але старе вікно CSRSS все ще знаходиться усередині.

Увійдіть у Windows 7 і Console Window Host process. Як очевидно з назви, це хост-процес для вікна консолі. Сорт процесу знаходиться посередині між CSRSS та командним рядком (cmd.exe), дозволяючи Windows виправити обидві попередні проблеми - елементи інтерфейсу, такі як смуги прокручування, малюються правильно, і ви можете знову перетягнути їх у командний рядок. І це метод, який все ще використовується в Windows 8 і 10, що дозволяє використовувати нові елементи інтерфейсу і стилі, які з'явилися з Windows 7.

Незважаючи на те, що диспетчер завдань представляє Console Window Host як окремий об'єкт, він все ще тісно пов'язаний із CSRSS. Якщо ви перевірите процес conhost.exe на , ви побачите, що він дійсно працює під процесом csrss.ese.

Зрештою, Console Window Host є чимось на зразок оболонки, яка підтримує можливість запуску служби на системному рівні, такої як CSRSS, але при цьому надає можливість інтеграції сучасних елементів інтерфейсу.

Чому існує кілька екземплярів процесу?

Ви часто побачите кілька екземплярів процесу Console Window Host, запущених у диспетчері завдань. Кожен екземпляр командного рядка запускає свій процес Console Window. Крім того, в інших програмах, що використовують командний рядок, буде створено власний процес Console Window, навіть якщо ви не побачите активного вікна. Хорошим прикладом цього є програма Plex Media Server, яка працює як фонова програма і використовує командний рядок, щоб зробити його доступним для інших пристроїв у вашій мережі.

Багато фонових програм працюють таким чином, тому немає нічого незвичайного в тому, що кілька екземплярів процесу Console Window працюють у будь-який момент часу. Це нормальна поведінка. Здебільшого кожен процес повинен займати дуже мало пам'яті (зазвичай менше 10 МБ) та майже нульовий ЦП, якщо процес не активний.

Тим не менш, якщо ви помітили, що конкретний екземпляр Console Window Host або пов'язана з ним служба викликає проблеми, такі як постійне надмірне використання ЦП або ОЗУ, ви можете перевірити конкретні програми, які задіяні. Це може принаймні дати вам уявлення про те, де розпочати пошук та усунення несправностей. На жаль, сам диспетчер завдань не надає хорошої інформації про це. Хорошою новиною є те, що Microsoft надає чудовий передовий інструмент для роботи з процесами у складі лінійки Sysinternals. Просто завантажте Process Explorer і запустіть його - це портативний додаток, тому немає необхідності його встановлювати. Process Explorer надає всілякі розширені функції - і я настійно рекомендую прочитати посібник з розуміння Process Explorer, щоб дізнатися більше.

Найпростіший спосіб відстежувати ці процеси в Process Explorer – спочатку натиснути Ctrl+F, щоб почати пошук. Знайдіть "conhost", а потім клацніть результати. Коли ви це зробите, ви побачите зміну основного вікна, яке покаже вам програму (або службу), пов'язану з конкретним екземпляром Console Window Host.

Якщо надмірне використання ЦП або ОЗУ, викликає у вас занепокоєння, принаймні ви звузите пошук до певної програми.

Чи може цей процес бути вірусом?

Сам процес є офіційним компонентом Windows. Хоча можливість, що вірус замінив реальний Console Window Host власним файлом, що виконується, малоймовірно. Якщо ви хочете бути впевненим, ви можете перевірити базове розташування файлу процесу. У диспетчері завдань клацніть правою кнопкою миші на процесі та виберіть опцію «Відкрити розташування файлу».

Якщо файл зберігається у вашій папці Windows\System32, ви можете бути впевнені, що ви не маєте справу з вірусом.

Насправді є троян, який називається Conhost Miner, який маскується як процес Console Window Host. У диспетчері завдань він виглядає так само, як і реальний процес, але місце розташування покаже, що він зберігається в %userprofile% AppData Roaming Microsoft а не в папці Windows System32. Троян дійсно використовується для захоплення вашого комп'ютера, тому незвичайна поведінка, яку ви можете помітити, полягає у використанні пам'яті вище, ніж ви очікували, а використання ЦП підтримується на дуже високих рівнях (часто вище 80%).

Звичайно, використання хорошого антивірусного сканера - найкращий спосіб запобігти (і видалити) шкідливе ПЗ, наприклад Conhost Miner, і це те, що ви повинні робити в будь-якому випадку. Береженого Бог береже!