Проблемы в Windows Vista

Если вы читаете эту статью значит вам интересно что такое conhost.exe процесс, что он делает в
диспетчере задач, и почему он работает в Windows 7.

Процесс Conhost.exe - это решение фундаментальной проблемы обработки консольных окон в
предыдущих версиях Windows, он работал с ошибками в Vista, а в Windows ХР его вообще
не было.

Он совершенно безопасный если запущен и работает из папки C:\Windows\system32\conhost.exe .
Но сканирование компьютера на наличие вирусов никогда не помешает.
Если он находиться в другом месте, то скорее всего, это вирус или вредоносная программа.

Windows 7 улучшена таким образом, что визуальные окна консоли обрабатывает сама
операционная система. В предыдущих версиях Windows процесс консоли работал под управлением
процесса csrss.exe (Client Server Runtime Process) . Он запускался от системной привилегированной
учетной записи.

Если посмотреть на окно командной строки в Windows XP, то можно заметить что оно всегда имеет
классический вид, вне зависимости от того какую тему Windows вы используете на вашем
компьютере. Это связано с тем что окно консоли формирует не проводник windows explorer.exe, а
выше упомянутая служба csrss.exe.

Окно консоли в Windows Vista, использует ту же тему, что и все остальные окна, но если
присмотреться внимательно то видно что полосы прокрутки все еще используют старый стиль. Это
связано с тем что DWM (Desktop Window Manager) управляет процессом рисования внешнего вида
окна, но процесс работает так же как и в Windows XP, а полосы прокрутки являются частью
самого окна.

Conhost.exe сидит в середине между CSRSS и cmd.exe и исправляет в Windows 7
проблемы предыдущих версий Windows, не только делает правильными полосы прокрутки, но и
позволяет перетащить файл из проводника прямо в командную строку:

Иногда ошибки conhost.exe и другие системные ошибки EXE могут быть связаны с проблемами в реестре Windows. Несколько программ может использовать файл conhost.exe, но когда эти программы удалены или изменены, иногда остаются "осиротевшие" (ошибочные) записи реестра EXE.

В принципе, это означает, что в то время как фактическая путь к файлу мог быть изменен, его неправильное бывшее расположение до сих пор записано в реестре Windows. Когда Windows пытается найти файл по этой некорректной ссылке (на расположение файлов на вашем компьютере), может возникнуть ошибка conhost.exe. Кроме того, заражение вредоносным ПО могло повредить записи реестра, связанные с Windows 7 Home Premium. Таким образом, эти поврежденные записи реестра EXE необходимо исправить, чтобы устранить проблему в корне.

Редактирование реестра Windows вручную с целью удаления содержащих ошибки ключей conhost.exe не рекомендуется, если вы не являетесь специалистом по обслуживанию ПК. Ошибки, допущенные при редактировании реестра, могут привести к неработоспособности вашего ПК и нанести непоправимый ущерб вашей операционной системе. На самом деле, даже одна запятая, поставленная не в том месте, может воспрепятствовать загрузке компьютера!

В связи с подобным риском мы настоятельно рекомендуем использовать надежные инструменты очистки реестра, такие как %%product%% (разработанный Microsoft Gold Certified Partner), чтобы просканировать и исправить любые проблемы, связанные с conhost.exe. Используя очистку реестра , вы сможете автоматизировать процесс поиска поврежденных записей реестра, ссылок на отсутствующие файлы (например, вызывающих ошибку conhost.exe) и нерабочих ссылок внутри реестра. Перед каждым сканированием автоматически создается резервная копия, позволяющая отменить любые изменения одним кликом и защищающая вас от возможного повреждения компьютера. Самое приятное, что устранение ошибок реестра может резко повысить скорость и производительность системы.

Предупреждение: Если вы не являетесь опытным пользователем ПК, мы НЕ рекомендуем редактирование реестра Windows вручную. Некорректное использование Редактора реестра может привести к серьезным проблемам и потребовать переустановки Windows. Мы не гарантируем, что неполадки, являющиеся результатом неправильного использования Редактора реестра, могут быть устранены. Вы пользуетесь Редактором реестра на свой страх и риск.

Перед тем, как вручную восстанавливать реестр Windows, необходимо создать резервную копию, экспортировав часть реестра, связанную с conhost.exe (например, Windows 7 Home Premium):

1. Нажмите на кнопку Начать .
2. Введите "command " в строке поиска... ПОКА НЕ НАЖИМАЙТЕ ENTER !
3. Удерживая клавиши CTRL-Shift на клавиатуре, нажмите ENTER .
4. Будет выведено диалоговое окно для доступа.
5. Нажмите Да .
6. Черный ящик открывается мигающим курсором.
7. Введите "regedit " и нажмите ENTER .
8. В Редакторе реестра выберите ключ, связанный с conhost.exe (например, Windows 7 Home Premium), для которого требуется создать резервную копию.
9. В меню Файл выберите Экспорт .
10. В списке Сохранить в выберите папку, в которую вы хотите сохранить резервную копию ключа Windows 7 Home Premium.
11. В поле Имя файла введите название файла резервной копии, например "Windows 7 Home Premium резервная копия".
12. Убедитесь, что в поле Диапазон экспорта выбрано значение Выбранная ветвь .
13. Нажмите Сохранить .
14. Файл будет сохранен с расширением.reg .
15. Теперь у вас есть резервная копия записи реестра, связанной с conhost.exe.

Следующие шаги при ручном редактировании реестра не будут описаны в данной статье, так как с большой вероятностью могут привести к повреждению вашей системы. Если вы хотите получить больше информации о редактировании реестра вручную, пожалуйста, ознакомьтесь со ссылками ниже.

Понимание процесса консоли Windows требует немного истории. В дни Windows XP командная строка обрабатывалась процессом с именем ClientServer Runtime System Service (CSRSS).

Как следует из названия, CSRSS был сервисом системного уровня. Это создало пару проблем. Во-первых, сбой в CSRSS мог привести к сбою всей системы, что создавало возможные уязвимости безопасности. Вторая проблема заключалась в том, что CSRSS не мог быть тематическим, потому что разработчики не хотели подвергать риску код темы для запуска в системном процессе. Таким образом, командная строка всегда имела классический вид, а не использовала новые элементы интерфейса.

Обратите внимание на скриншот Windows XP ниже: командная строка не имела даже того стиля, какой уже был у приложения «Блокнот» .

В Windows Vista была представлена Desktop Window Manager – служба, которая «отрисовывает» составные части окон на вашем рабочем столе, но не позволяет каждому отдельному дескриптору приложения работать самостоятельно.

Благодаря этому, командная строка получила некоторые поверхностные темы (например, стеклянную рамку, присутствующую в других окнах), но это произошло за счет возможности перетаскивания файлов, текста и т.д. в окно командной строки.

Тем не менее, эта стилизация не зашла далеко. Если вы посмотрите на консоль в Windows Vista, то заметите, что она использует ту же тему, что и все остальные окна, но полосы прокрутки по-прежнему используют старый стиль. Это связано с тем, что диспетчер окон рабочего стола обрабатывает заголовки и рамки окон, но внутри всё ещё находится старое окно CSRSS.

В Windows 7 появился процесс узла окна консоли Windows. Как следует из названия, это хост-процесс для консольного окна. Процесс находится посередине между CSRSS и командной строкой (cmd.exe), что позволяет Windows исправлять обе предыдущие проблемы – элементы интерфейса, такие как полосы прокрутки, и вы можете перетаскивать файлы в командную строку. Это метод всё еще используется в Windows 8 и 10, позволяя добавлять новые элементы интерфейса и стили, которые появились вместе с Windows 7.

Несмотря на то, что диспетчер задач представляет консольный Window Host как отдельный объект, он все еще тесно связан с CSRSS. Если вы проверите процесс conhost.exe в Process Explorer, то увидите, что он действительно работает под процессом csrss.exe.

В конце концов, консольный Window Host является чем-то вроде оболочки, которая поддерживает возможность запуска службы на системном уровне, такой как CSRSS, но при этом предоставляет возможность интегрировать современные элементы интерфейса.

Почему запускается несколько процессов conhost.exe

Вы часто можете видеть несколько экземпляров процесса консоли Windows (conhost.exe) , запущенных в диспетчере задач. Каждый экземпляр командной строки запускает свой собственный процесс Host Window консоли.

Кроме того, в других приложениях, использующих командную строку, будет создан собственный процесс консоли, даже если вы не увидите для них активного окна.

Хорошим примером этого является приложение Plex Media Server, которое работает как фоновое приложение и использует командную строку, чтобы сделать её доступной для других устройств в вашей сети.

Многие работают таким образом, поэтому нередко можно увидеть несколько экземпляров процесса консоли Windows. Это нормальное поведение. По большей части, каждый процесс должен занимать очень мало памяти (обычно менее 10 МБ) и почти нулевой ЦП, если процесс не активен.

Тем не менее, если заметили, что конкретный экземпляр Console Window Host или связанный с ним сервис вызывает проблемы, такие как постоянное чрезмерное использование ЦП или ОЗУ, вы можете проверить конкретные приложения. Это может дать Вам представление о том, где начать поиск и устранение неисправностей.

К сожалению, сам диспетчер задач не предоставляет хорошую информацию об этом. Хорошей новостью является то, что Microsoft предоставляет отличный инструмент для работы с процессами в составе линейки Sysinternals. Просто загрузите Process Explorer и запустите его – это портативное приложение , поэтому нет необходимости его устанавливать. Process Explorer предоставляет расширению информацию по всем процессам.

Самый простой способ отслеживать эти процессы в Process Explorer – нажать Ctrl + F , чтобы начать поиск. Найдите «conhost», а затем щелкните результаты. Вы увидите изменение основного окна, которые покажут Вам приложение (или службу), связанное с этим конкретным экземпляром консоли Windows.

Может ли процесс conhost.exe быть вирусом

Сам процесс является официальным компонентом Windows. Хотя возможно, что вирус заменил реальный консольный Window Host собственным исполняемым файлом, но это маловероятно .

Если Вы хотите быть уверенным, вы можете проверить базовое расположение файла процесса. В диспетчере задач щелкните правой кнопкой мыши любой процесс conhost.exe и выберите опцию «Открыть расположение файла».

Если файл хранится в папке Windows\System32, то Вы можете быть уверены, что не имеете дело с вирусом.

На самом деле, существует троянец, названный Conhost Miner, который маскируется как процесс conhost.exe. В диспетчере задач он выглядит точно так же, как и реальный процесс, но простые действия покажут, что он фактически хранится в %userprofile%\AppData\Roaming\Microsoft, а не в Windows\System32.

Троян используется для захвата вашего компьютера в целях добычи криптовалюты, что можно заметить по растущей нагрузке на память и ЦП (часто выше 80%).

Конечно, использование хорошего антивирусного сканера – лучший способ предотвратить заражение вредоносным ПО. Береженого Бог бережёт!

Наверное, в мире нет ни одного пользователя операционных систем Windows, который хоть когда-нибудь не запускал бы «Диспетчер задач» для завершения какого-то зависшего приложения или для просмотра производительности компьютера. Вот только иногда в дереве активных в данный момент процессов многие пользователи обращают внимание на присутствие в списке некой службы в виде исполняемого файла conhost.exe. Что за процесс «висит» в системе, толком особо никто не разбирается, считая его вирусом (особенно если он запущен многократно). Действительно, он может быть угрозой, но не всегда.

Conhost.exe: что за процесс наблюдается в «Диспетчере задач»?

Прежде всего нужно разобраться, что собой представляет данный процесс и отвечающий за него исполняемый файл.

Сам процесс относится к системным службам Windows и появился еще в Windows XP. Он отвечает за открытие консольных окон вроде командной строки или PowerShell. Основное его предназначение - открытие окна консоли с применением оформления, заданного для текущей темы, установленной для всех графических элементов, в частности для окон.

Для чего нужная служба conhost.exe?

Чтобы было понятнее, рассмотрим все ту же Windows XP. Вероятно, многие обращали внимание, что при установленной по умолчанию теме окна всех программ имеют одинаковое оформление, например в виде объемной синей шапки сверху.

Но вот когда вызывается та же командная строка, окно выглядит иначе (в стандартном оформлении старых систем). Чтобы окно имело вид текущей темы, и был разработан системный компонент conhost.exe. Окно консоли узла при срабатывании самого исполняемого файла открывается именно в том виде, в каком представлены все остальные окна.

Однако самая главная проблема изначально состояла в том, что эта служба в XP была явно недоработана, из-за чего окна открывались не в том виде, а иногда даже наблюдалось зависание всей системы. В «Висте» служба была модифицирована, хотя и работала с приоритетом рангом ниже, нежели компонент scrss.exe, который в XP изначально отвечал за оформление консольных окон. Но и здесь наблюдалось множество проблем.

И только начиная с седьмой модификации служба была переработана кардинально. Несмотря на то что ее приоритет вызова и исполнения сохранился между уровнями scrss и cmd, консольные окна при вызове соответствующих программ стали выглядеть как положено (например, в оформлении темы Aero).

Можно ли отключить службу?

Такова вкратце служба conhost.exe. Что за процесс перед нами, думается, немного понятно. Теперь несколько слов о том, можно ли отключить этот процесс.

Вообще, делать этого не рекомендуется, собственно, как для всех остальных системных компонентов. Впрочем, если вас не смущает вид окон без применения оформления, установленного для текущей темы, процесс можно отключить (завершить в «Диспетчере задач»). Заметьте, служба только отключается, и то на время. Удалить ее, даже обладая полным набором администраторских прав, невозможно (если только это не вирус). Система попросту не даст этого сделать, и абсолютно все сторонние средства окажутся бессильны. К тому же стартует процесс исключительно при запуске консольных окон, а при их отсутствии или в моменты бездействия системы в «Диспетчере задач» его нет. Да и на быстродействие компьютера эта служба особо влияния не оказывает.

Вирус conhost.exe: проверка расположения файла программы

Совершенно иная ситуация - когда в том же «Диспетчере задач» в дереве активных процессов наблюдается появление нескольких одноименных служб (по крайней мере, более двух). Это уже явный намек на присутствие в системе вирусов, которые под эту службу и маскируются. А если там присутствует еще и компонент engine.exe, все - жди неприятностей! Это - точно вирус. Но даже присутствие только одного процесса может свидетельствовать о проникновении в систему угрозы в виде вредоносных исполняемых кодов. Чаще всего это относится к троянам.

Чтобы удостовериться, что процесс является системным (или вирусным), в «Диспетчере задач», используя вкладку процессов, через меню ПКМ нужно выбрать строку открытия местоположения файла. Оригинальный файл conhost.exe всегда расположен в системной папке System32 основной директории операционной системы. Если же указана отличная от необходимо срочно принимать меры.

Проверка на предмет наличия угроз

Теперь посмотрим, как удалить conhost.exe. В принципе, ничего особо сложного здесь нет. Однако следует учесть некоторые нюансы. Прежде всего в самом «Диспетчере задач» нужно завершить все одноименные процессы. Даже если в этот момент будет оставлена оригинальная служба, ничего страшного (при рестарте она запустится снова в автоматическом режиме).

После этого необходимо использовать какой-нибудь мощный сканер, желательно портативного типа (например, Dr. Web CureIt! или KVRT). Запускать углубленное сканирование с применением уже установленного антивируса выглядит нецелесообразным, хотя бы по причине того, что он уже пропустил угрозу.

Однако, как показывает практика, наиболее действенным методом удаления такой напасти станет использование специальных дисковых программ вроде Kaspersky Rescue Disk или аналогов от других разработчиков, специализирующихся на антивирусной защите. Преимущество таких утилит состоит в том, что они имеют собственный загрузчик, и при записи на съемный носитель можно загрузиться именно с него еще до старта основной ОС. В приложении можно использовать графический интерфейс или DOS-режим. Далее нужно просто проверить всю систему, установив параметр углубленного сканирования и дождаться завершения процесса. При этом могут быть определены даже те вирусы, которые очень глубоко интегрированы в систему или даже постоянно находятся в оперативной памяти.

Вместо итога

Такова служба conhost.exe. Что за процесс происходит в системе при открытии консолей, уже понятно, равно как и то, что служба при многократном запуске может оказаться вредоносным элементом. Собственно, избавиться от такого вируса труда не составит. Необходимо просто подобрать оптимальную утилиту для проверки и удаления угрозы.

Вы, несомненно, читаете эту статью, потому что наткнулись на процесс Console Window Host (conhost.exe) в диспетчере задач и задаетесь вопросом, что это такое. У меня есть ответ для вас.

Эта статья является частью серии, объясняющей различные процессы, обнаруженные в диспетчере задач, такие как , svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe и многие другие. Не знаете, что это такое? !

Итак, что такое процесс conhost.exe?

Понимание процесса Console Window Host требует немного истории. В дни Windows XP командная строка обрабатывалась процессом с именем ClientServer Runtime System Service (CSRSS). Как следует из названия, CSRSS был сервисом на системном уровне. Это создало пару проблем. Во-первых, сбой в CSRSS мог привести к сбою всей системы, которая выявила не только проблемы с безопасностью, но и возможные уязвимости безопасности. Вторая проблема заключалась в том, что CSRSS не может быть тематическим, потому что разработчики не хотели подвергать риску программный код для запуска в системном процессе. Таким образом, командная строка всегда имела классический вид, и не использовала новые элементы интерфейса.

Обратите внимание на скриншот Windows XP ниже, командная строка не получает тот же стиль, что и приложения, например, «Блокнот».

Windows Vista представила Desktop Window Manager - службу, которая «рисует» составные виды окон на вашем рабочем столе, вместо того чтобы позволить каждому отдельному приложению использовать их самостоятельно. Командная строка получила некоторые поверхностные темы (например, стеклянную рамку, присутствующую в других окнах), но это произошло за счет возможности перетаскивания файлов, текста и т. д. в окно командной строки.

Тем не менее, эта тематика не зашла так далеко. Если вы посмотрите на консоль в Windows Vista, похоже, что она использует ту же тему, что и все остальные, но вы заметите, что полосы прокрутки по-прежнему используют старый стиль. Это связано с тем, что диспетчер окон рабочего стола обрабатывает чертежи и рамки заголовков, но старое окно CSRSS все еще находится внутри.

Войдите в Windows 7 и Console Window Host process. Как видно из названия, это хост-процесс для окна консоли. Сорт процесса находится посередине между CSRSS и командной строкой (cmd.exe), позволяя Windows исправить обе предыдущие проблемы - элементы интерфейса, такие как полосы прокрутки, рисуются правильно, и вы можете снова перетащить их в командную строку. И это метод, который все еще используется в Windows 8 и 10, что позволяет использовать все новые элементы интерфейса и стили, которые появились с Windows 7.

Несмотря на то, что диспетчер задач представляет Console Window Host как отдельный объект, он все еще тесно связан с CSRSS. Если вы проверите процесс conhost.exe в , вы увидите, что он действительно работает под процессом csrss.ese.

В конце концов, Console Window Host является чем-то вроде оболочки, которая поддерживает возможность запуска службы на системном уровне, такой как CSRSS, но при этом предоставляет возможность интеграции современных элементов интерфейса.

Почему существует несколько экземпляров процесса?

Вы часто увидите несколько экземпляров процесса Console Window Host, запущенных в диспетчере задач. Каждый экземпляр командной строки запускает свой собственный процесс Console Window. Кроме того, в других приложениях, использующих командную строку, будет создан собственный процесс Console Window, даже если вы не увидите для них активного окна. Хорошим примером этого является приложение Plex Media Server, которое работает как фоновое приложение и использует командную строку, чтобы сделать ее доступной для других устройств в вашей сети.

Многие фоновые приложения работают таким образом, поэтому нет ничего необычного в том, что несколько экземпляров процесса Console Window работают в любой момент времени. Это нормальное поведение. По большей части каждый процесс должен занимать очень мало памяти (обычно менее 10 МБ) и почти нулевой ЦП, если процесс не активен.

Тем не менее, если вы заметили, что конкретный экземпляр Console Window Host или связанная с ним служба вызывает проблемы, такие как постоянное чрезмерное использование ЦП или ОЗУ, вы можете проверить конкретные приложения, которые задействованы. Это может по крайней мере дать вам представление о том, где начать поиск и устранение неисправностей. К сожалению, сам диспетчер задач не предоставляет хорошую информацию об этом. Хорошей новостью является то, что Microsoft предоставляет отличный передовой инструмент для работы с процессами в составе линейки Sysinternals. Просто загрузите Process Explorer и запустите его - это портативное приложение, поэтому нет необходимости его устанавливать. Process Explorer предоставляет всевозможные расширенные функции - и я настоятельно рекомендую прочитать руководство по пониманию Process Explorer, чтобы узнать больше.

Самый простой способ отслеживать эти процессы в Process Explorer - сначала нажать Ctrl + F, чтобы начать поиск. Найдите «conhost», а затем щелкните результаты. Когда вы это сделаете, вы увидите изменение основного окна, которое покажет вам приложение (или службу), связанное с этим конкретным экземпляром Console Window Host.

Если чрезмерное использование ЦП или ОЗУ, вызывает у вас беспокойство, по крайней мере, вы сузите поиск к определенному приложению.

Может ли этот процесс быть вирусом?

Сам процесс является официальным компонентом Windows. Хотя возможность, что вирус заменил реальный Console Window Host собственным исполняемым файлом, маловероятно. Если вы хотите быть уверенным, вы можете проверить базовое расположение файла процесса. В диспетчере задач щелкните правой кнопкой мыши на процессе и выберите опцию «Открыть расположение файла».

Если файл хранится в вашей папке Windows\System32, вы можете быть уверены, что не имеете дело с вирусом.

На самом деле есть троян, называемый Conhost Miner, который маскируется как процесс Console Window Host. В диспетчере задач он выглядит так же, как и реальный процесс, но место расположения покажет, что он хранится в %userprofile%\AppData\Roaming\Microsoft а не в папке Windows\System32. Троян действительно используется для захвата вашего компьютера, поэтому необычное поведение, которое вы можете заметить, заключается в использовании памяти выше, чем вы могли ожидать, а использование ЦП поддерживается на очень высоких уровнях (часто выше 80%).

Конечно, использование хорошего антивирусного сканера - лучший способ предотвратить (и удалить) вредоносное ПО, например, Conhost Miner, и это то, что вы должны делать в любом случае. Береженого Бог бережет!