Win7: Фантомные conhost.exe

Разговоры на любые темы: вы можете обсудить здесь какой-либо сайт, найти единомышленников или просто пообщаться...
FireFenix
Продвинутый гуру
Продвинутый гуру
Аватара пользователя
 
Сообщения: 1640
Зарегистрирован: 25.05.2007 (Пт) 10:24
Откуда: Mugen no Sora

Win7: Фантомные conhost.exe

Сообщение FireFenix » 17.01.2011 (Пн) 20:47

Относительно недавно стал замечать, что среди процессов появляются 2 conhost.exe порождаемые csrss
Изображение
Изображение
Собсно они меня немного напрягают.
Может ли это внутренний сервис их запускает? Или может ли это быть вирусом (вроде проверялся - ни одного не нашёл)?
Птицей Гермеса меня называют, свои крылья пожирая... сам себя я укрощаю
私はヘルメスの鳥 私は自らの羽根を喰らい 飼い慣らされる

Leon144
Обычный пользователь
Обычный пользователь
Аватара пользователя
 
Сообщения: 92
Зарегистрирован: 13.12.2008 (Сб) 9:57

Re: Win7: Фантомные conhost.exe

Сообщение Leon144 » 17.01.2011 (Пн) 21:04

А что тебе мешает проверить этот файл на вирусы в on line. На Касперском или DrWeb сайтах. Пусть эксперты его поковыряют. На крайняк в Гугле напиши имя этого процесса, много чего повылазить могут. Я так несколько вирей выцеплял из системы.
Хотели как лучше, получилось как всегда.

Хакер
Телепат
Телепат
Аватара пользователя
 
Сообщения: 16478
Зарегистрирован: 13.11.2005 (Вс) 2:43
Откуда: Казахстан, Петропавловск

Re: Win7: Фантомные conhost.exe

Сообщение Хакер » 17.01.2011 (Пн) 22:06

Leon144 писал(а):А что тебе мешает проверить этот файл на вирусы в on line. На Касперском или DrWeb сайтах. Пусть эксперты его поковыряют.

On-line проверка осуществляется не эксперитом, а роботом. Если файла нет в базе, он будет отображён как чистый, даже если он таковым не является.
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.

FireFenix
Продвинутый гуру
Продвинутый гуру
Аватара пользователя
 
Сообщения: 1640
Зарегистрирован: 25.05.2007 (Пт) 10:24
Откуда: Mugen no Sora

Re: Win7: Фантомные conhost.exe

Сообщение FireFenix » 17.01.2011 (Пн) 22:16

Leon144 писал(а):А что тебе мешает проверить этот файл на вирусы в on line. На Касперском или DrWeb сайтах. Пусть эксперты его поковыряют. На крайняк в Гугле напиши имя этого процесса, много чего повылазить могут. Я так несколько вирей выцеплял из системы.

Естественно я это тоже проделал...
http://www.virustotal.com/file-scan/rep ... 1295291498
http://www.virustotal.com/file-scan/rep ... 1295291642

Причём Win7 и NOD32 стоят со всеми последними обновлениями
Птицей Гермеса меня называют, свои крылья пожирая... сам себя я укрощаю
私はヘルメスの鳥 私は自らの羽根を喰らい 飼い慣らされる

iGrok
Артефакт VBStreets
Артефакт VBStreets
 
Сообщения: 4272
Зарегистрирован: 10.05.2007 (Чт) 16:11
Откуда: Сетевое сознание

Re: Win7: Фантомные conhost.exe

Сообщение iGrok » 17.01.2011 (Пн) 23:23

Где лежит, какой размер, какая строка запуска? (Use "Process Explorer" Руссиновича, Luk!)
label:
cli
jmp label

Joo
Постоялец
Постоялец
Аватара пользователя
 
Сообщения: 762
Зарегистрирован: 14.08.2008 (Чт) 11:55
Откуда: Казахстан

Re: Win7: Фантомные conhost.exe

Сообщение Joo » 18.01.2011 (Вт) 6:28

Что гадать то? Поиском по имени файла не судьба погуглить?
Процесс conhost.exe существует только для Windows 7. Что это такое и зачем существует? Этот процесс предназначен для решения некоторых проблем Windows XP, где:
1. Не всегда работал Drag&Drop в консоли
2. темы оформления не применялись к окну консоли
Если обращаться к Windows XP, то мы видим, что оформление отсутствует как у окна, так и у полос прокрутки.

В следующей версии – в Vista – заголовки и границы всех окон стали отрисовываться с помощью нового DWM (Desktop Window Manager). Но оформления полос прокрутки нет.

В Windows 7 был создан отдельный процесс, Conhost.exe, который позволяет Windows 7 исправить проблемы предыдущих версий.

Теперь вы знаете, что из себя представляет процесс conhost.exe. И что не стоит его удалять. Но помните, что некоторые вредоносные программы маскируют себя под conhost.exe. Будьте внимательны!
"Им будет не просто, тем кто полагается на истину авторитета, вместо того чтобы полагаться на авторитет Истины"
Джеральд Месси, Египтолог

Leon144
Обычный пользователь
Обычный пользователь
Аватара пользователя
 
Сообщения: 92
Зарегистрирован: 13.12.2008 (Сб) 9:57

Re: Win7: Фантомные conhost.exe

Сообщение Leon144 » 18.01.2011 (Вт) 12:00

Хакер писал(а):
Leon144 писал(а):А что тебе мешает проверить этот файл на вирусы в on line. На Касперском или DrWeb сайтах. Пусть эксперты его поковыряют.

On-line проверка осуществляется не эксперитом, а роботом. Если файла нет в базе, он будет отображён как чистый, даже если он таковым не является.


А как насчет запроса в Вирусную лабораторию через личный кабинет??

По гуглил:
Если сей файл сидит в Папке Windows то там он и должен быть
Если файл с таким же именем присудствует в папке Programm Files вот тогда это зловред.
Детектируется Каспером, Anti-Malware,Spy-Bot Desktroy.
Хотели как лучше, получилось как всегда.

FireFenix
Продвинутый гуру
Продвинутый гуру
Аватара пользователя
 
Сообщения: 1640
Зарегистрирован: 25.05.2007 (Пт) 10:24
Откуда: Mugen no Sora

Re: Win7: Фантомные conhost.exe

Сообщение FireFenix » 19.01.2011 (Ср) 23:49

Пару раз перезагрузившись заметил, что процесс появляется сразу после загрузки системы, причём иногда 1 иногда 2 :shock:
Так же со временем они не исчезают, а работают до завершения системы. Собсно эксперимент по убиванию crss.exe приводит к крашу системы, а убийстов этих процессов - нет.
Причём раньше они не появлялись, т.е. изначально их не было.

Список запускаемых прогрмм из msconfig:
Изображение
В реестре и в сервисах не увидел ничего нового и подозрительного...

iGrok писал(а):Где лежит, какой размер, какая строка запуска? (Use "Process Explorer" Руссиновича, Luk!)

Параметры запуска
Изображение
Инфо:
Изображение
Вот что говорит дамп 1 процесса
Изображение
и второго:
Изображение
Радует, что они винсок не юзают :)

Отчёт вирустотала с хешсуммами: http://www.virustotal.com/file-scan/rep ... 1295291642

Joo писал(а):Что гадать то? Поиском по имени файла не судьба погуглить?

Какую роль он играет - мне известно. Но в чём суть его появления этих 2х процессов при запуске виндовс? причём ниодин софт из авторана не юзает коммандную строку
Leon144 писал(а):
Хакер писал(а):
Leon144 писал(а):А что тебе мешает проверить этот файл на вирусы в on line. На Касперском или DrWeb сайтах. Пусть эксперты его поковыряют.

On-line проверка осуществляется не эксперитом, а роботом. Если файла нет в базе, он будет отображён как чистый, даже если он таковым не является.


А как насчет запроса в Вирусную лабораторию через личный кабинет??

conhost может выступать невинной жертвой, как результат выполнения чего-то из cmd

Leon144 писал(а):По гуглил:
Если сей файл сидит в Папке Windows то там он и должен быть
Если файл с таким же именем присудствует в папке Programm Files вот тогда это зловред.

Спасибо, капитан, но если было бы так, то я бы давно его истребил :)
Птицей Гермеса меня называют, свои крылья пожирая... сам себя я укрощаю
私はヘルメスの鳥 私は自らの羽根を喰らい 飼い慣らされる


Вернуться в Народный треп

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 38

    TopList