Windows 10 je operační systém založený na službách a procesech. Ve skutečnosti, pokud přistupujete k místním službám systému, narazíte na širokou škálu služeb, z nichž některé jsou velmi jasné a jiné ne tolik. Právě tam musíme být opatrní, protože pokud ukončíme proces nebo službu, které nerozumíme, může dojít k obecným poruchám, které budou mít za následek nestabilitu systému nebo jeho součástí.
Proces conhost.exe začíná, když spustíme příkazový terminál včetně aktivního i neaktivního okna. V tomto složitém světě služeb a procesů určitě v určitém okamžiku najdeme soubor s názvem „conhost.exe“ a přestože jeho název a poslání nejsou jasné, musíme jej před provedením jakékoli akce podrobně analyzovat. Některé akce k ověření, že nejsme nakaženi infekční kopií této služby, jsou:
Analyzujte, zda je soubor conhost.exe škodlivý
- Zkuste zavřít všechna okna CMD nebo příkazové konzoly pomocí procesu cmd.exe
- Zkontrolujte naplánované úkoly a zjistěte, zda jsou spuštěny nějaké úkoly.
- Zkontrolujte, zda nějaká aplikace nepoužívá k provádění činností příkazovou konzolu
- Spusťte na počítači skener virů a malwaru
- Použijte aplikaci pro odstraňování problémů a opravy systému
Proto je zde Solvetic, aby vám pomohl s vašimi dotazy ohledně malwaru.
1. Co je soubor conhost.exe
První věc, které musíme porozumět a dát jí jasně najevo, je, že jako spustitelný soubor (.exe) mluvíme o skutečném souboru, který je podepsán společností Microsoft a jehož výchozí umístění je ve složce system32. Důvod, proč o tom mluvíme, je jednoduchý, mnoho spustitelných souborů je konfigurováno se škodlivými kódy, jejichž účelem je útočit na systémové a místní soubory, a proto jejich umístění nebude systémová složka jako složka System32.
Od vydání XP existuje aktivní proces s názvem ClientServer Runtime System Service (CSRSS). Tento proces je službou na úrovni systému. Microsoft vyvinul proces conhost.exe, aby mohl běžet pod procesem csrss.exe. Ale ne všechno je tak jednoduché, jak se zdá, protože při jeho provádění tímto způsobem došlo ke dvěma problémům:
- Jakékoli selhání, byť minimální, v CSRSS zablokovalo celý systém, což logicky ovlivnilo produktivitu a výkon.
- Za druhé, CSRSS nemohl mít nová témata, která omezovala vývojáře v úpravě aspektů okna.
Podle povahy systému Windows je normální, že se ve Správci úloh zobrazují různé instance hostitelského procesu v okně konzoly (conhost.exe). Důvodem je, že každá objednávka, kterou provedeme, vytvoří nezávisle proces conhost, například při otevření příkazového řádku v systému Windows 10 a pomocí nástroje Process Explorer vidíme, že conhost.exe je spojen s touto spuštěnou konzolou:
ZVĚTŠIT
PoznámkaTento nástroj lze stáhnout na následujícím odkazu:
Typické chyby conhost.exeV tomto světě procesů a služeb je normální, že najdeme nějaké chyby conhost.exe, jako například:
- Chyba aplikace Conhost.exe
- Conhost.exe není platná aplikace Win32
- Conhost.exe nefunguje
- Conhost.exe zaznamenal problém a musí být ukončen. Omlouváme se za nedbalost
- Nelze najít conhost.exe
- Conhost.exe nebyl nalezen
- Cesta chybující aplikace: conhost.exe
- Chyba při spuštění programu: conhost.exe
- Conhost.exe se nezdařil
Pro tento typ situace společnost Solvetic doporučuje použít nástroj Process Explorer, protože poskytne konkrétní cestu, ke které je Conhost.exe přidružen, a odtud budeme moci činit příslušná správní rozhodnutí.
2. Zjistěte, zda je soubor conhost.exe virus
Tupá a jasná odpověď je „Ne“, jak jsme zmínili, je to proces podepsaný společností Microsoft, který je v adresáři System32, ale protože vše na tomto světě má svou kopii nebo napodobeninu, je možné, že útočník simuluje conhost file. exe k provedení svých akcí.
Krok 1
Dělají to úpravou písmene nebo jeho pořadí, ale abychom se vyhnuli jakýmkoli pochybnostem, můžeme přejít do Správce úloh a tam zjistit řádek „Host okna konzoly“, kliknout na něj pravým tlačítkem a vybrat možnost „Otevřít umístění souboru“ ":
Tímto způsobem budeme přesměrováni na původní umístění souboru conhost.exe, který, pokud je původní, musí být v cestě.
C: \ Windows \ System32
ZVĚTŠIT
Abychom mohli zkontrolovat, jak lze tento soubor nahradit, v současné době existuje trojský kůň, jehož jméno je Conhost Miner, což je proces, který funguje jako bitcoinový těžař a jasně víme, že to znamená nadměrnou spotřebu systémových prostředků, jako je CPU, paměť atd., ovlivňující jeho optimální výkon, lze tento trojský kůň najít na následující cestě.
Vidíme, že na úrovni vzhledu to simuluje jako conhost.exe, ale jeho účel není vůbec vlastní společnosti Microsoft, což ovlivňuje zabezpečení a výkon našeho počítače.
% userprofile% \ AppData \ Roaming \ Microsoft
ZVĚTŠIT
Můžeme použít antivirové nebo antimalwarové nástroje k vyloučení jakékoli hrozby tohoto typu, a tak víme, že spuštěný soubor conhost.exe je platný.
Zjistili jsme, že před odstraněním souboru Windows musíme zdokumentovat jeho původ a provoz, abychom se vyhnuli destabilizaci systému obecně.
