Windows 10 е операционна система, базирана на услуги и процеси. Всъщност, ако имате достъп до локалните услуги на системата, ще попаднете на голямо разнообразие от услуги, някои от които са много ясни и макар че други не чак толкова. Точно там трябва да бъдем предпазливи, защото ако прекратим процес или услуга, които не разбираме, може да възникнат общи повреди, които ще доведат до нестабилност на системата или някой от нейните компоненти.
Процесът conhost.exe започва, когато изпълним командния терминал, включващ както активния, така и неактивния прозорец. В този сложен свят на услуги и процеси със сигурност ще намерим в един момент файл, наречен "conhost.exe" и въпреки че името и мисията му не са ясни, трябва да го анализираме подробно, преди да предприемем каквото и да е действие по него. Някои действия за проверка, че не сме заразени от заразно копие на тази услуга са:
Анализирайте дали conhost.exe е злонамерен
- Опитайте се да затворите всички прозорци на CMD или на командната конзола с процеса cmd.exe
- Прегледайте планираните задачи и вижте дали има изпълнени задачи.
- Проверете дали някое приложение използва командната конзола за извършване на дейности
- Стартирайте скенер за вируси и злонамерен софтуер на компютъра си
- Използвайте системното приложение за отстраняване на неизправности и ремонт
Затова Solvetic е тук, за да ви помогне с вашите въпроси относно зловреден софтуер.
1. Какво представлява файлът conhost.exe
Първото нещо, което трябва да разберем и направим много ясно, е, че като изпълним файл (.exe) говорим за истински файл, подписан от Microsoft и чието местоположение по подразбиране е в папката system32. Причината да се говори за това е проста, много изпълними файлове са конфигурирани със злонамерени кодове, чиято цел е да атакуват системните и локалните файлове, поради което тяхното местоположение няма да бъде системна папка като папката System32.
Има активен процес от изданията на XP, наречен ClientServer Runtime System Service (CSRSS). Този процес е услуга на системно ниво. Е, Microsoft разработи процеса conhost.exe, за да може той да работи под процеса csrss.exe. Но не всичко е толкова просто, колкото изглежда, тъй като при изпълнението му по този начин имаше два проблема, които бяха:
- Всеки провал, макар и минимален, в CSRSS блокира цялата система, което логично се отразява на производителността и производителността.
- Второ, CSRSS не можа да има нови теми, което ограничи разработчика да променя аспектите на прозореца.
По естеството на Windows е нормално да виждате различни екземпляри на процеса на хост прозорец на конзолата (conhost.exe), работещ в диспечера на задачите. Това е така, защото всяка поръчка, която правим, ще създава независимо процес на conhost, например при отваряне на командния ред в Windows 10 и използване на помощната програма Process Explorer, можем да видим, че conhost.exe е свързан с тази изпълнена конзола:
Увеличете
ЗабележкаТази помощна програма може да бъде изтеглена на следната връзка:
Типични грешки в conhost.exeВ този свят на процеси и услуги е нормално да открием някои грешки в conhost.exe като:
- Грешка в приложението Conhost.exe
- Conhost.exe не е валидно приложение Win32
- Conhost.exe не работи
- Conhost.exe е срещнал проблем и трябва да бъде затворен. Съжаляваме за неудобството
- Не може да се намери conhost.exe
- Conhost.exe не е намерен
- Грешен път на приложението: conhost.exe
- Грешка при стартиране на програмата: conhost.exe
- Conhost.exe не успя
За този тип ситуации Solvetic препоръчва да използвате помощната програма Process Explorer, тъй като тя ще даде конкретния път, където е свързан Conhost.exe, и от там ще можем да вземаме съответните административни решения.
2. Знайте дали файлът conhost.exe е вирус
Откровеният и ясен отговор е „Не“, както споменахме, това е процес, подписан от Microsoft, който се намира в директорията System32, но тъй като всичко на този свят има свое копие или имитация, възможно е нападател да симулира конхост file.exe, за да извърши своите действия.
Етап 1
Те правят това, като променят писмо или неговия ред, но за да излезем от всякакво съмнение, можем да отидем в диспечера на задачите и там да открием реда „Хост на прозореца на конзолата“, да щракнем с десния бутон върху него и да изберем опцията „Отваряне на местоположението на файла ":
По този начин ще бъдем пренасочени към първоначалното местоположение на файла conhost.exe, който, ако е оригинален, трябва да бъде в пътя.
C: \ Windows \ System32
Увеличете
За да можем да проверим как този файл може да бъде заменен, в момента има троянец, чието име е Conhost Miner, който е процес, който действа като Bitcoin миньор и ние ясно знаем, че това предполага прекомерна консумация на системни ресурси като процесор, памет и т.н., влияещи на оптималната му производителност, този троянец може да бъде намерен по следния път.
Виждаме, че на ниво външен вид симулира да бъде conhost.exe, но целта му изобщо не е собствена на Microsoft, като по този начин се отразява на сигурността и производителността на нашия компютър.
% потребителски профил% \ AppData \ Roaming \ Microsoft
Увеличете
Можем да използваме помощни програми за антивирусна програма или антивирусен софтуер, за да изключим всяка заплаха от този тип и по този начин да знаем, че изпълненият файл conhost.exe е валиден.
Научихме, че преди да изтрием файл с Windows, трябва да документираме неговия произход и работа, за да избегнем дестабилизиране на системата като цяло.
