Что такое окно консоли узла. Аналогичная служба в Windows XP

Вы, несомненно, читаете эту статью, потому что наткнулись на процесс Console Window Host (conhost.exe) в диспетчере задач и задаетесь вопросом, что это такое. У меня есть ответ для вас.

Эта статья является частью серии, объясняющей различные процессы, обнаруженные в диспетчере задач, такие как , svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe и многие другие. Не знаете, что это такое? !

Итак, что такое процесс conhost.exe?

Понимание процесса Console Window Host требует немного истории. В дни Windows XP командная строка обрабатывалась процессом с именем ClientServer Runtime System Service (CSRSS). Как следует из названия, CSRSS был сервисом на системном уровне. Это создало пару проблем. Во-первых, сбой в CSRSS мог привести к сбою всей системы, которая выявила не только проблемы с безопасностью, но и возможные уязвимости безопасности. Вторая проблема заключалась в том, что CSRSS не может быть тематическим, потому что разработчики не хотели подвергать риску программный код для запуска в системном процессе. Таким образом, командная строка всегда имела классический вид, и не использовала новые элементы интерфейса.

Обратите внимание на скриншот Windows XP ниже, командная строка не получает тот же стиль, что и приложения, например, «Блокнот».

Windows Vista представила Desktop Window Manager - службу, которая «рисует» составные виды окон на вашем рабочем столе, вместо того чтобы позволить каждому отдельному приложению использовать их самостоятельно. Командная строка получила некоторые поверхностные темы (например, стеклянную рамку, присутствующую в других окнах), но это произошло за счет возможности перетаскивания файлов, текста и т. д. в окно командной строки.

Тем не менее, эта тематика не зашла так далеко. Если вы посмотрите на консоль в Windows Vista, похоже, что она использует ту же тему, что и все остальные, но вы заметите, что полосы прокрутки по-прежнему используют старый стиль. Это связано с тем, что диспетчер окон рабочего стола обрабатывает чертежи и рамки заголовков, но старое окно CSRSS все еще находится внутри.

Войдите в Windows 7 и Console Window Host process. Как видно из названия, это хост-процесс для окна консоли. Сорт процесса находится посередине между CSRSS и командной строкой (cmd.exe), позволяя Windows исправить обе предыдущие проблемы - элементы интерфейса, такие как полосы прокрутки, рисуются правильно, и вы можете снова перетащить их в командную строку. И это метод, который все еще используется в Windows 8 и 10, что позволяет использовать все новые элементы интерфейса и стили, которые появились с Windows 7.

Несмотря на то, что диспетчер задач представляет Console Window Host как отдельный объект, он все еще тесно связан с CSRSS. Если вы проверите процесс conhost.exe в , вы увидите, что он действительно работает под процессом csrss.ese.

В конце концов, Console Window Host является чем-то вроде оболочки, которая поддерживает возможность запуска службы на системном уровне, такой как CSRSS, но при этом предоставляет возможность интеграции современных элементов интерфейса.

Почему существует несколько экземпляров процесса?

Вы часто увидите несколько экземпляров процесса Console Window Host, запущенных в диспетчере задач. Каждый экземпляр командной строки запускает свой собственный процесс Console Window. Кроме того, в других приложениях, использующих командную строку, будет создан собственный процесс Console Window, даже если вы не увидите для них активного окна. Хорошим примером этого является приложение Plex Media Server, которое работает как фоновое приложение и использует командную строку, чтобы сделать ее доступной для других устройств в вашей сети.

Многие фоновые приложения работают таким образом, поэтому нет ничего необычного в том, что несколько экземпляров процесса Console Window работают в любой момент времени. Это нормальное поведение. По большей части каждый процесс должен занимать очень мало памяти (обычно менее 10 МБ) и почти нулевой ЦП, если процесс не активен.

Тем не менее, если вы заметили, что конкретный экземпляр Console Window Host или связанная с ним служба вызывает проблемы, такие как постоянное чрезмерное использование ЦП или ОЗУ, вы можете проверить конкретные приложения, которые задействованы. Это может по крайней мере дать вам представление о том, где начать поиск и устранение неисправностей. К сожалению, сам диспетчер задач не предоставляет хорошую информацию об этом. Хорошей новостью является то, что Microsoft предоставляет отличный передовой инструмент для работы с процессами в составе линейки Sysinternals. Просто загрузите Process Explorer и запустите его - это портативное приложение, поэтому нет необходимости его устанавливать. Process Explorer предоставляет всевозможные расширенные функции - и я настоятельно рекомендую прочитать руководство по пониманию Process Explorer, чтобы узнать больше.

Самый простой способ отслеживать эти процессы в Process Explorer - сначала нажать Ctrl + F, чтобы начать поиск. Найдите «conhost», а затем щелкните результаты. Когда вы это сделаете, вы увидите изменение основного окна, которое покажет вам приложение (или службу), связанное с этим конкретным экземпляром Console Window Host.

Если чрезмерное использование ЦП или ОЗУ, вызывает у вас беспокойство, по крайней мере, вы сузите поиск к определенному приложению.

Может ли этот процесс быть вирусом?

Сам процесс является официальным компонентом Windows. Хотя возможность, что вирус заменил реальный Console Window Host собственным исполняемым файлом, маловероятно. Если вы хотите быть уверенным, вы можете проверить базовое расположение файла процесса. В диспетчере задач щелкните правой кнопкой мыши на процессе и выберите опцию «Открыть расположение файла».

Если файл хранится в вашей папке Windows\System32, вы можете быть уверены, что не имеете дело с вирусом.

На самом деле есть троян, называемый Conhost Miner, который маскируется как процесс Console Window Host. В диспетчере задач он выглядит так же, как и реальный процесс, но место расположения покажет, что он хранится в %userprofile%\AppData\Roaming\Microsoft а не в папке Windows\System32. Троян действительно используется для захвата вашего компьютера, поэтому необычное поведение, которое вы можете заметить, заключается в использовании памяти выше, чем вы могли ожидать, а использование ЦП поддерживается на очень высоких уровнях (часто выше 80%).

Конечно, использование хорошего антивирусного сканера - лучший способ предотвратить (и удалить) вредоносное ПО, например, Conhost Miner, и это то, что вы должны делать в любом случае. Береженого Бог бережет!

Иногда ошибки conhost.exe и другие системные ошибки EXE могут быть связаны с проблемами в реестре Windows. Несколько программ может использовать файл conhost.exe, но когда эти программы удалены или изменены, иногда остаются "осиротевшие" (ошибочные) записи реестра EXE.

В принципе, это означает, что в то время как фактическая путь к файлу мог быть изменен, его неправильное бывшее расположение до сих пор записано в реестре Windows. Когда Windows пытается найти файл по этой некорректной ссылке (на расположение файлов на вашем компьютере), может возникнуть ошибка conhost.exe. Кроме того, заражение вредоносным ПО могло повредить записи реестра, связанные с Windows 7 Home Premium. Таким образом, эти поврежденные записи реестра EXE необходимо исправить, чтобы устранить проблему в корне.

Редактирование реестра Windows вручную с целью удаления содержащих ошибки ключей conhost.exe не рекомендуется, если вы не являетесь специалистом по обслуживанию ПК. Ошибки, допущенные при редактировании реестра, могут привести к неработоспособности вашего ПК и нанести непоправимый ущерб вашей операционной системе. На самом деле, даже одна запятая, поставленная не в том месте, может воспрепятствовать загрузке компьютера!

В связи с подобным риском мы настоятельно рекомендуем использовать надежные инструменты очистки реестра, такие как %%product%% (разработанный Microsoft Gold Certified Partner), чтобы просканировать и исправить любые проблемы, связанные с conhost.exe. Используя очистку реестра , вы сможете автоматизировать процесс поиска поврежденных записей реестра, ссылок на отсутствующие файлы (например, вызывающих ошибку conhost.exe) и нерабочих ссылок внутри реестра. Перед каждым сканированием автоматически создается резервная копия, позволяющая отменить любые изменения одним кликом и защищающая вас от возможного повреждения компьютера. Самое приятное, что устранение ошибок реестра может резко повысить скорость и производительность системы.

Предупреждение: Если вы не являетесь опытным пользователем ПК, мы НЕ рекомендуем редактирование реестра Windows вручную. Некорректное использование Редактора реестра может привести к серьезным проблемам и потребовать переустановки Windows. Мы не гарантируем, что неполадки, являющиеся результатом неправильного использования Редактора реестра, могут быть устранены. Вы пользуетесь Редактором реестра на свой страх и риск.

Перед тем, как вручную восстанавливать реестр Windows, необходимо создать резервную копию, экспортировав часть реестра, связанную с conhost.exe (например, Windows 7 Home Premium):

1. Нажмите на кнопку Начать .
2. Введите "command " в строке поиска... ПОКА НЕ НАЖИМАЙТЕ ENTER !
3. Удерживая клавиши CTRL-Shift на клавиатуре, нажмите ENTER .
4. Будет выведено диалоговое окно для доступа.
5. Нажмите Да .
6. Черный ящик открывается мигающим курсором.
7. Введите "regedit " и нажмите ENTER .
8. В Редакторе реестра выберите ключ, связанный с conhost.exe (например, Windows 7 Home Premium), для которого требуется создать резервную копию.
9. В меню Файл выберите Экспорт .
10. В списке Сохранить в выберите папку, в которую вы хотите сохранить резервную копию ключа Windows 7 Home Premium.
11. В поле Имя файла введите название файла резервной копии, например "Windows 7 Home Premium резервная копия".
12. Убедитесь, что в поле Диапазон экспорта выбрано значение Выбранная ветвь .
13. Нажмите Сохранить .
14. Файл будет сохранен с расширением.reg .
15. Теперь у вас есть резервная копия записи реестра, связанной с conhost.exe.

Следующие шаги при ручном редактировании реестра не будут описаны в данной статье, так как с большой вероятностью могут привести к повреждению вашей системы. Если вы хотите получить больше информации о редактировании реестра вручную, пожалуйста, ознакомьтесь со ссылками ниже.

Вернемся к диспетчеру задач и к тому что в нем творится, а именно к тому, что такое conhost.exe в диспетчере задач, зачем он нужен и можно ли его удалить. Conhost.exe отвечает за работу консольных окон, в XP его еще не было, он появился в Vista, однако там работал с глюками.

Процесс нужный и безопасный, то есть выключать его просто так нельзя, но посмотрите где он расположен (в диспетчере правой кнопкой по процессу и там можно выбрать расположение), он должен быть только тут — C:\Windows\System32, а если он лежит в другой папке, то может быть и вирусняк какой-то залез на комп!

В Windows 7 и более современных ОС, внешний вид командной строки обрабатывается именно этим процессом, и это одно из весомых улучшение по сравнению с XP (там этим руководил csrss.exe). Он теперь стоит как бы прослойкой между cmd.exe и csrss.exe.

То есть другими словами, черное окно консоли благодаря этому процессу и имеет более современный вид с визуальными эффектами, потому за внешний вид его отвечает проводник (а вот в XP оно всегда было в одном классическом оформлении). Именно conhost.exe делает так, что командной стройкой намного удобнее пользоваться — и перетаскивать можно прямо из папки в консоль файл, чтобы в консоли появился путь к нему. В Vista не все эти фишки были доступны, там еще была безопасность под вопросом

Процесс conhost.exe будет в диспетчере виден только если вы сами открыли командную строку, ну, или это сделали программы. Также часто консоль в скрытом режиме используют инсталляционные пакеты.

Вот у меня Windows 10 и такого процесса не было, но стоило запустить командную строку, как он сразу появился:

Теперь посмотрим характеристики, только опять же напомню, что у меня это «десятка», у вас может быть другая система и другие сведения, итак вот что выдает подсказка:

Если у вас процессов много, а также к этому еще ест engine.exe, тут точно нужно проверить компьютер на вирусы. Вот пример подозрительной активности процессов:

Еще дам вам такой совет, если вы видите conhost.exe в диспетчере задач, но при этом на компьютере ничего не делаете, программы не устанавливаете, но кажется что комп что-то делает — это реально может быть вирус, который использует консоль (а из-за нее ведь и появляется процесс conhost.exe) в своих целях, тут вам нужно как можно быстрее проверить комп!

Проверить на вирусы можно как Dr.Web CureIt!, так и сканером Eset, я лично рекомендую последний просто потому что он мне не один раз помогал Он работает без установки, то есть нужно зайти на сайт через Internet Explorer (чтобы он работал прямо в браузере) и запустить его, при этом будут загружены антивирусные базы и только потом начата проверка. О том, как запустить проверку я написал в статье (правда во второй ее половине!). На этом все, хочу вам дать еще совет, ваш компьютер будет намного в большой безопасности, а вам будет легче ней управлять, если вы познакомитесь с таким инструментом как фаервол. Именно при помощи него можно поставить под контроль доступ в интернет программам, так вы о левых программах узнаете очень быстро. Удачи

Наверное, в мире нет ни одного пользователя операционных систем Windows, который хоть когда-нибудь не запускал бы «Диспетчер задач» для завершения какого-то зависшего приложения или для просмотра производительности компьютера. Вот только иногда в дереве активных в данный момент процессов многие пользователи обращают внимание на присутствие в списке некой службы в виде исполняемого файла conhost.exe. Что за процесс «висит» в системе, толком особо никто не разбирается, считая его вирусом (особенно если он запущен многократно). Действительно, он может быть угрозой, но не всегда.

Conhost.exe: что за процесс наблюдается в «Диспетчере задач»?

Прежде всего нужно разобраться, что собой представляет данный процесс и отвечающий за него исполняемый файл.

Сам процесс относится к системным службам Windows и появился еще в Windows XP. Он отвечает за открытие консольных окон вроде командной строки или PowerShell. Основное его предназначение - открытие окна консоли с применением оформления, заданного для текущей темы, установленной для всех графических элементов, в частности для окон.

Для чего нужная служба conhost.exe?

Чтобы было понятнее, рассмотрим все ту же Windows XP. Вероятно, многие обращали внимание, что при установленной по умолчанию теме окна всех программ имеют одинаковое оформление, например в виде объемной синей шапки сверху.

Но вот когда вызывается та же командная строка, окно выглядит иначе (в стандартном оформлении старых систем). Чтобы окно имело вид текущей темы, и был разработан системный компонент conhost.exe. Окно консоли узла при срабатывании самого исполняемого файла открывается именно в том виде, в каком представлены все остальные окна.

Однако самая главная проблема изначально состояла в том, что эта служба в XP была явно недоработана, из-за чего окна открывались не в том виде, а иногда даже наблюдалось зависание всей системы. В «Висте» служба была модифицирована, хотя и работала с приоритетом рангом ниже, нежели компонент scrss.exe, который в XP изначально отвечал за оформление консольных окон. Но и здесь наблюдалось множество проблем.

И только начиная с седьмой модификации служба была переработана кардинально. Несмотря на то что ее приоритет вызова и исполнения сохранился между уровнями scrss и cmd, консольные окна при вызове соответствующих программ стали выглядеть как положено (например, в оформлении темы Aero).

Можно ли отключить службу?

Такова вкратце служба conhost.exe. Что за процесс перед нами, думается, немного понятно. Теперь несколько слов о том, можно ли отключить этот процесс.

Вообще, делать этого не рекомендуется, собственно, как для всех остальных системных компонентов. Впрочем, если вас не смущает вид окон без применения оформления, установленного для текущей темы, процесс можно отключить (завершить в «Диспетчере задач»). Заметьте, служба только отключается, и то на время. Удалить ее, даже обладая полным набором администраторских прав, невозможно (если только это не вирус). Система попросту не даст этого сделать, и абсолютно все сторонние средства окажутся бессильны. К тому же стартует процесс исключительно при запуске консольных окон, а при их отсутствии или в моменты бездействия системы в «Диспетчере задач» его нет. Да и на быстродействие компьютера эта служба особо влияния не оказывает.

Вирус conhost.exe: проверка расположения файла программы

Совершенно иная ситуация - когда в том же «Диспетчере задач» в дереве активных процессов наблюдается появление нескольких одноименных служб (по крайней мере, более двух). Это уже явный намек на присутствие в системе вирусов, которые под эту службу и маскируются. А если там присутствует еще и компонент engine.exe, все - жди неприятностей! Это - точно вирус. Но даже присутствие только одного процесса может свидетельствовать о проникновении в систему угрозы в виде вредоносных исполняемых кодов. Чаще всего это относится к троянам.

Чтобы удостовериться, что процесс является системным (или вирусным), в «Диспетчере задач», используя вкладку процессов, через меню ПКМ нужно выбрать строку открытия местоположения файла. Оригинальный файл conhost.exe всегда расположен в системной папке System32 основной директории операционной системы. Если же указана отличная от необходимо срочно принимать меры.

Проверка на предмет наличия угроз

Теперь посмотрим, как удалить conhost.exe. В принципе, ничего особо сложного здесь нет. Однако следует учесть некоторые нюансы. Прежде всего в самом «Диспетчере задач» нужно завершить все одноименные процессы. Даже если в этот момент будет оставлена оригинальная служба, ничего страшного (при рестарте она запустится снова в автоматическом режиме).

После этого необходимо использовать какой-нибудь мощный сканер, желательно портативного типа (например, Dr. Web CureIt! или KVRT). Запускать углубленное сканирование с применением уже установленного антивируса выглядит нецелесообразным, хотя бы по причине того, что он уже пропустил угрозу.

Однако, как показывает практика, наиболее действенным методом удаления такой напасти станет использование специальных дисковых программ вроде Kaspersky Rescue Disk или аналогов от других разработчиков, специализирующихся на антивирусной защите. Преимущество таких утилит состоит в том, что они имеют собственный загрузчик, и при записи на съемный носитель можно загрузиться именно с него еще до старта основной ОС. В приложении можно использовать графический интерфейс или DOS-режим. Далее нужно просто проверить всю систему, установив параметр углубленного сканирования и дождаться завершения процесса. При этом могут быть определены даже те вирусы, которые очень глубоко интегрированы в систему или даже постоянно находятся в оперативной памяти.

Вместо итога

Такова служба conhost.exe. Что за процесс происходит в системе при открытии консолей, уже понятно, равно как и то, что служба при многократном запуске может оказаться вредоносным элементом. Собственно, избавиться от такого вируса труда не составит. Необходимо просто подобрать оптимальную утилиту для проверки и удаления угрозы.

Conhost или conhost.exe, каким его видят пользователи в диспетчере задач – это процесс операционной системы Windows, который стартует при запуске любой консольной команды. По сути это аббревиатура. Полное название процесса — «Console Windows Host».

Является безопасным только в том случае, когда запускается из папки Windows \ System 32 . Он отвечает за перетаскивание консольных окон, поскольку в ранних версиях Виндоус, например, Vista, это было сделать проблематично.

А в Windows XP conhost был включен в процесс Client Server Runtime System Service (CSRSS). Такое соединение создавало проблемы. Любой баг в окне консоли узла мог привести к краху всей системы.

На данный момент conhost.exe является оболочкой для служб CSRSS и позволяет интегрировать в нее современные элементы интерфейса.

Почему запущено несколько процессов

Так как console windows host для каждой открытой командной строки свой, то в окне диспетчера задач пользователь сможет увидеть несколько запущенных процессов, даже если пользователь не открывал окно командой cmd.exe.

Например, фоновое приложение Plex Media Server работает с поддержкой постоянно открытого окна командной строки. Но пользователь его не видит. А процесс будет отображаться в запущенных.

Это естественная работа приложений. А их размер не занимает больше 10 мегабайт памяти и не нагружает центральный процессор (ЦПУ).

Может ли conhost быть вирусом

Conhost не является вирусной программой. Но чаще всего разработчики вирусов специально создают вредоносные программы с именами популярных процессов , которые работают на компьютере под этими именами. Это делается для того, чтобы пользователи и антивирусы установленные на компьютерах не заметили вирус.

Для распознания подозрительных процессов необходимо посмотреть, в какой папке находится исполняемый файл, запустивший его. Для этого нужно кликнуть по процессу, который вызывает подозрение правой кнопкой мыши и выбрать пункт «Открыть расположение файла ».

Есть несколько условий, по которым можно определить вирус:

• если файл находится в папке «C:\Users\USERNAME », то процент опасности повышается до 60. Файл не имеет детального описания и начинает работы при запуске Windows;
• если элемент находится в «C:\Program Files », то процент опасности также остается высоким. Файл повторяет действия в выше описанном пункте;
• если элемент запускающий процесс находится в других папках, а не в Windows \ System 32 , то процент опасности составляет 100. При этом показатели загруженности процессора и ОЗУ достигают 80 процентов и выше при полном простое операционной системы.

В таких случаях необходимо найти и удалить вирусы, которые могут повредить информацию на компьютере или даже уничтожить данные.

Как очистить компьютер

Для того, чтобы очистить компьютер от файла, зараженного вирусом необходимо запустить сканирование на вирусы . Программа Spy Hunter поможет вычислить вирус и избавиться от него.

Если же пользователь обладает некоторыми знаниями в области IT технологий, то можно попытаться устранить его вручную. Это делается следующим образом:

Если этот вирус находится в браузере, то нужно поступить следующим образом:

1. Открыть браузер, нажать на три точки справа в углу, если это Chrome. Откроется меню браузера . В других браузерах меню открывается по другому, но его легко найти. Обычно обозначается, как три точки или три линии, расположенных вертикально.
2. Выбрать пункт «Расширения » и нажать на кнопку корзины перед расширением conhost, который пользователь увидит в открытом окне.

Способы профилактики

Чтобы компьютер не заразился вирусом не нужно:

• открывать файлы , которые приходят с почтой от неизвестных пользователей;
• обновлять приложения и программы, в которых не уверены;
• перед установкой какого-либо приложения внимательно прочитать инструкции .