С какой-то периодичностью, возможно раз в сутки или двое при старте системы мелькают окна консоли и исчезают, в логах касперского пишет что-то вроде:
28.02.2020 13.24.50;Подозрительное действие было запрещено;Console Window Host;Доступ к памяти других процессов;Console Window Host;C:WindowsSystem32conhost.exe;02/28/2020 13:24:50
28.02.2020 13.24.50;Подозрительное действие было запрещено;Console Window Host;Копирование внутренних описателей процесса;Console Window Host;C:WindowsSystem32conhost.exe;02/28/2020 13:24:50
28.02.2020 13.24.50;Подозрительное действие было запрещено;Console Window Host;Внедрение кода;Console Window Host;C:WindowsSystem32conhost.exe;02/28/2020 13:24:50
И таких сообщение штук 10 или больше, касперский ремувал тул, эсет эмердженси кит ничего не обнаружили, не говоря уже о самом КиС, который стоит тут и обновляется автоматом. Только лишь блочит «подозрительные действия».
Бывает, что при выключении компьютера тоже на экране «эти приложения мешают вам выключить компьютер» мелькает что-то без названия, тупо иконка программы, но названия нет.
Может быть кто-то сталкивался с подобным? На соседнем форуме посоветовали еще прогнать автологгером, но так как подобная фигня не каждый раз при перезапуске системы, вероятно это нужно подгадать момент. Может это какая-то системная фигня, но понять бы что именно происходит, ибо в отчетах информации слишком мало.
Каждый день при запуске винды (или почти каждый день, точно сказать не могу) на секунду мелькает окна консоли и тут же закрываются, смотрю в отчетах касперского, что он блокирует подозрительные действия:
28.02.2020 13.24.50;Подозрительное действие было запрещено;Console Window Host;Доступ к памяти других процессов;Console Window Host;C:WindowsSystem32conhost.exe;02/28/2020 13:24:50
28.02.2020 13.24.50;Подозрительное действие было запрещено;Console Window Host;Копирование внутренних описателей процесса;Console Window Host;C:WindowsSystem32conhost.exe;02/28/2020 13:24:50
28.02.2020 13.24.50;Подозрительное действие было запрещено;Console Window Host;Внедрение кода;Console Window Host;C:WindowsSystem32conhost.exe;02/28/2020 13:24:50
И таких сообщений штук 10 в ряд. Причем более подробно посмотреть никак. Сканировал, естественно. и самим каспером и емердженси китом от эмсисофта, ничего не находит.
Причем когда выключаешь компьютер, там тоже мелькает какая-то странная программа, при завершении. Очень похоже на вирь, но как его обнаружить?
- Remove From My Forums
-
Вопрос
-
При запуске ( Ctrl + F5 ) программы » test » в Visual Studio Community 2015, Kaspersky Internet Security вывел следующее предупреждение: Console Windows Host, запущенная программой с ограничениями, пытается выполнить
действия с адресным пространством процесса test.exeПроцесс (PID: 2012): c:windowssystem32conhost.exe
Группа: Доверенные > MICROSOFT
Последовательность запуска: Windows Explorer > Microsoft > Visual Studio 2015 > test.exe > Console Window Host
Разрешить сейчас <-> Запретить сейчас
Раньше такого предупреждения не было. Посоветуйте, пожалуйста, как поступить в данном случае!
Ответы
-
Очевидно, игнорировать сообщение, так как любой отладчик «пытается выполнить действия с адресным пространством«.
Можно написать Kaspersky, чтобы убрали бессмысленное предупреждение.-
Предложено в качестве ответа
21 октября 2017 г. 22:12
-
Помечено в качестве ответа
Maksim MarinovMicrosoft contingent staff, Moderator
30 октября 2017 г. 13:25
-
Предложено в качестве ответа
-
-
April 25 2016, 14:44
- Политика
- Cancel
Задача: Необходимо на ключевом компьютере организации настроить политику запуска программ по белому списку, т.е. запуск всех программ запрещен кроме “белого списка”.
Сразу скажу, что без танцев с бубном решить проблему не удавалось. Да и в принципе до конца так и не решилась.
На данном этапе пока вижу два минуса:
Первый- при загрузке Windows Касперский грузиться не сразу и есть интервал в течении которого можно запустить ПО, которое не в “белом списке”.
Второй – добавление ПО в “белый список”. Добавление происходит по хешу файла или просто указывается разрешенный каталог. Просто по имени файла не работает, не знаю почему. В данный момент общаюсь по этому поводу с ТП Касперского, решение пока никакого нет.
Итак, начнем
Имеем на клиентской машине Kaspersky Endpoint Security 10.
1. Запускаем Kaspersky Security Center на Сервере, заходим в созданную группу “Контроль запуска программ”, переходим на закладку политики
2. Открываем политику
3. Выбираем Контроль рабочего места – Контроль запуска программ. В правой части ставим галку напротив Контроль запуска программ
4. Далее закрываем политику
5. Идем в раздел “Управление программами” – Категории программ
6. Сверху “Создать категорию” – Тип категории (пополняемая вручную категория)
7. Вводим название категории
8. Добавить – Из свойства файла
9. Получить данные – Из файла
10. Выбираем файл exe (я взял для примера Excel.exe)
11. Ставим переключатель на Хеш файла и ОК.
П.С. Если оставить на метаданных и прописать просто имя файла, то не работает. Проблема пока не решена.
12. В разделе Категории программ появится наша категория test
13. Далее заходим в созданную группу “Контроль запуска программ”, переходим на закладку политики
14. Открываем политику
15. Выбираем Контроль рабочего места – Контроль запуска программ
16. Разрешить Все ставим ВЫКЛ
17. Нажимаем +Добавить и добавляем нашу категорию test, Пользователи- Все, галочка – Доверенные программы обновления и OK.
18. Желательно перегрузить клиентский ПК, чтоб политика активировалась. Можно и не перегружать, тогда необходимо подождать. Но для 100% уверенности я перегружал.
Выводы: В принципе на этом все. Решить данную проблему можно и через групповые политики AD, что скорее всего более разумно т.к. фильтр по exe файлу в Касперском не работает пока. А если исключать по хешу файла, то тогда использовать Касперский. Ну и пришлось обновить на клиентской машине Касперского до последней версии чтоб хоть как то контроль заработал. Без обновления вообще не работало никак.
П.С. после обновления на клиентской машине необходимо запустить утилиту klmover, которая связывает клиентскую машину и сервер администрирования Касперского.
klmover -address 172.16.1.1 -logfile klmover.log
где address, ip адрес сервера администрирования Касперского
… Кроме разрешенных.
Этот способ защиты компьютера очень хорошо себя показал. Суть в чём? Мы просто выделяем доверенные каталоги, откуда и производим дальнейший запуск приложений. Технически, это должно помочь нам защитить компьютер от большого спектра вредоносных и нежелательных программ, которые скачиваются во временные каталоги, в корни диска и т.д.
В качестве доверенных каталогов выберем:
- C:Windows* со всеми вложенными.
- C:Program Files* со всеми вложенными.
* – если система установлена на другой логический диск – меняем букву соответственно.
В дальнейшем можно добавить ещё выборочно другие каталоги.
Теперь берём для себя правило – ставить все программы в Program Files. Все портабельные, скачанные, инсталляторы – всё кидаем в Program Files (или спец-каталог) в нём. Это лучше настроить сразу после переустановки системы, чтобы сделать максимально чистую конфигурацию.
(Переустановить Windows можно с флешки. Инструкция о том, как сделать загрузочную флешку ultraiso)
Можно использовать два способа блокирования запуска – через групповые политики или через сторонний софт (например Антивирус Касперского).
Блокирование запуска через групповые политики
> gpedit.msc
Увидим редактор групповых политик
Открываем раздел “Конфигурация компьютера” – “Конфигурация Windows” – “Параметры безопасности” – “Политики ограничения использования программ”. Кликаем правой кнопкой мыши по этому разделу и создаем первую политику.
В “Дополнительные правила” кликаем правой кнопкой мыши, создаем новое правило для пути.
Выбираем каталог, выставляем тип безопасности – “Неограниченный”, т.е. разрешаете использование.
Таким же образом добавляем каталоги C:Windows, C:Windowssystem32 и все необходимые вам. Можно добавить все нужные нам каталоги.
Ну а теперь переходим на “Уровни безопасности” и выбираем “Запрещено” по умолчанию. Теперь запрещено запускать новые программы, кроме списка разрешенных.
Попытка запустить приложение выдаст вот такую ошибку:
Ограничение на запуск программ при помощи Kaspersky Endpoint Security
Аналогичные действия можно выполнить и при помощи штатного антивирусного средства:
Выбираем раздел “Контроль рабочего места” – “Контроль программ” – “Контроль запуска программ”.
В настройках модуля выставляем флажок “Включить Контроль запуска программ”, если он не был включен, и нажимаем “Добавить”. Добавляем новое правило.
Указываем название правила, можно добавить в описание пояснительные записи – что и зачем мы разрешаем. В “Включающие условия”, “Добавить”, “Условие вручную”.
Далее, выбираем в качестве критерия “Путь к файлу или папке”. Выбираем каталог. Условились, что выбираем Windows и Program Files. (Ну и добавьте сюда то, что желаете)
Теперь важный пункт. Нажимаем на статус правила и у нашего правила делаем “Вкл”, а у правила по умолчанию делаем “Выкл”.
Готово. Не забываем нажимать “Сохранить”. Теперь попытки запустить левое приложение выйдут боком:
Всем привет ребята. Дело у нас о такой штуке как Console Window Host (conhost.exe), я постараюсь узнать что это и напишу вам тут понятным языком. Ну то, что это системный процесс, это я думаю и так понятно. Получается что процесс Console Window Host занимается тем, что обрабатывает консольные окна в винде. Это относится к современным виндам, ну то есть Windows 7, Windows 10.. Короче ребята, это системная штука…
И тут такой вопрос в голове… в чем прикол тогда? А я думаю, что я знаю в чем. Процессов Console Window Host может быть несколько, и это не совсем нормально. Также этот процесс может грузить ПК, что как бэ тоже не есть норма.
Минутку внимания! Ребята, скажу сразу, причины, из-за которых могут быть проблемы с Console Window Host (conhost.exe), то этих причин очень много. И я не могу их знать всех, здесь я написал свои мысли и не более. Чаще всего это какие-то глюки в винде или оставшиеся косяки от установки какой-то проги. Ну или это просто проделки вируса. Вирус может спокойно делать свои коварные дела при помощи командной строки, то есть даже если процессы cmd.exe и conhost.exe оригинальные, это еще ни о чем не говорит…
Но почему процессов Console Window Host может быть несколько? Этот вопрос меня заинтересовал. Пошел искать ответ в интернете. Да уж ребята, тут в интернете что только не пишут по поводу conhost.exe, но в основном идут разговоры о вирусах.. То есть если conhost.exe грузит комп, если процессов много, если они постоянно висят, то стоит просканировать комп на вирусы, что как бэ логично…
Ребята, есть хорошие новости! 
Я теперь точно разобрался с тем что такое Console Window Host или conhost.exe! Значит смотрите, у меня стоит Windows 10, я открыл диспетчер задач, пошел на вкладку с процессами, смотрите:
РЕКЛАМА
Да, я знаю, тут ничего нет интересного. Но, смотрите, я зажимаю кнопки Win + R, потом вставляю cmd и нажимаю ОК:
РЕКЛАМА
Появилась командная строка, но при этом в самом диспетчере появились два процесса, это cmd.exe и conhost.exe, гляньте:
Видите? То есть я запустил командную строку, а это процесс cmd.exe, и сразу появился процесс conhost.exe, понимаете? Совпадение? Не думаю… А вот я запустил еще одну командную строку и смотрите, в диспетчере уже два cmd.exe и два conhost.exe:
Понимаете? На каждое окно командной строки идет один conhost.exe! Вот так, хорошо что мы с этим разобрались
На одном сайте я прочитал инфу и все сходится. Короче процесс conhost.exe это типа кореш процесса cmd.exe, то есть командной строки. Conhost.exe помогает командной строке поддерживать всякие фишки, типа вставить текст, перенос файла прямо в командную строку ну и еще что-то наверно.. Все это благодаря корешу conhost.exe, такие вот пироги ребятки.
Теперь давайте посмотрим, где должен обитать процесс conhost.exe, ну то есть где должен лежать этот файл. Я открыл системный диск C, и там в окне в правом верхнем углу вставил conhost.exe и начал ждать:
Немного прошло времени, файл conhost.exe нашелся:
И как видим, нашелся он в этой папке:
C:WindowsSystem32
И в этой:
C:WindowsWinSxSamd64_microsoft-windows-consolehost-launcher_31bf3856ad364e35_10.0.14393.0_none_a89d675a97f639c1
Имя этой папки, ну второй то есть, то оно короче у вас может отличаться, просто видите там в конце какая-то каша из букв….
Так, что еще можно сказать? Почему процессов conhost.exe может быть много? Откуда они берутся и насколько это опасно? Значит смотрите ребята, как мы уже поняли, процесс conhost.exe может быть только если есть процесс cmd.exe, верно? То есть если запущена командная строка.. Но что делать, если в диспетчере вы видите процессы cmd.exe и conhost.exe, но при этом нет никакой командной строки? Первая мысль что это вирус и это логично. Но, дело в том, что программы тоже могут использовать командную строку и чтобы вам не мешать, они это могут делать в скрытом режиме. Часто это происходит при установке некоторых программ. Я лично бывало замечал в диспетчере процессы cmd.exe, conhost.exe, но правда это было давно, я уже не помню что я устанавливал тогда…
Но что делать, если все таки вам кажется, что это вирус? Ребята, спокойно. Первое что нужно сделать, это проверить, а вирус ли это, есть подозрения? Откуда они и какие? А ну подумаем.. Сперва я запущу командную строку, ну так надо, чтобы создать ситуацию типа. Потом пойдем в диспетчер, откроем вкладку с процессами, вот мы и видим тут cmd.exe и conhost.exe:
Теперь нужно проверить откуда запущены эти процессы, для этого нажимаем по каждому правой кнопкой и жмем на пункт Открыть расположение файла:
У меня вот открылась эта папка:
C:WindowsSystem32
Со вторым процессом, то есть с conhost.exe дела обстоят точно также, тоже он должен быть в System32, учтите это. А вот по поводу того от какого имени процессы должны быть запущены, то это я даже не знаю что сказать.. У меня запущены от текущей учетной записи, под которой я сижу. То есть не от имени система. Но я не знаю, если программа запускает консоль в скрытом режиме, то это не знаю от какого имени будет, тут уж извините, реально не знаю.
О, еще забыл, видите в диспетчере, ну вверху на картинке, какие там значки у процессов cmd.exe и conhost.exe? Так вот они такие и должны быть! Это вам просто на заметку.
Но что делать если в итоге после всего вы все равно думаете что у вас вирус? Тогда нужно просканировать комп двумя утилитами. Первая это Dr.Web CureIt!, ее можно скачать вот с этого сайта:
https://free.drweb.ru/cureit/
На этом сайте есть и инструкция как пользоваться, все очень просто и доступно. Ну а вот как выглядит эта утилита, это идет процесс сканирования:
Dr.Web CureIt! проверят комп на реально мощные и серьезные вирусы, такие как трояны, черви и прочая дичь. Утилита годная и давно уже завоевала репутацию лучшей. Вторая утилита, которой советую просканировать, это AdwCleaner, она в отличии от первой нацелена на поиск рекламных вирусов, то есть это как бэ и не вирусы опасные, но такая ерунда что вообще капец. Рекламные вирусы стараются всеми способами показать рекламу и где только можно, и в браузере, и на сайтах даже заменяет рекламу на свою (вообще ахтунг), а может и вообще на рабочем столе быть рекламные обьявления (ахтунг номер два). AdwCleaner можно скачать вот отсюдова:
https://www.malwarebytes.com/adwcleaner/
Сама программа простая, вы ее запускаете и нажимаете Сканировать ну или Scan:
Короче справитесь, я уверен вы со всем справитесь и сможете проверить ПК на вирусы.
Вот такие дела ребята по поводу conhost.exe ну или Console Window Host, просто первое это название процесса, а второе типа его описание
Еще забыл сказать, что может быть что процессы cmd.exe и conhost.exe висят просто потому произошел какой-то глюк в винде или глюк в процессе установки какой-то проги. Но если они висят долго и постоянно, то в принципе можно попробовать их завершить, думаю ничего ужасного не произойдет..
На этом все ребятки, извините если инфа вам не помогла в вашем вопросе. Удачи вам, всего хорошего и чтобы вы были счастливы!
Запрет запуска приложений со сменных носителей с помощью установленного корпоративного решения «Лаборатории Касперского»
На небольших предприятиях, использующих защитные решения без единого центра управления, периодически встает вопрос проверки запуска программ. Что имеется в виду? Запуск конкретных программ и приложений тем или иным пользователем, необходимость блокирования игр, несанкционированно установленных браузеров и т. д. Одной из подобных задач, в первую очередь касающихся соблюдения режима безопасности, является запрет запуска приложений со сменных носителей. Для этого предусмотрен целый ряд решений. Мы рассмотрим решение данной задачи с помощью установленного корпоративного решения «Лаборатории Касперского».
Запрет запуска приложений со сменных носителей для всех пользователей
Откройте основное окно программы Kaspersky Endpoint Security 10 для Windows (KES 10) и перейдите на вкладку «Настройка» (см. экран 1).
 |
| Экран 1. Окно настройки параметров KES 10 |
Выберите слева раздел «Контроль запуска программ». На вкладке «Настройка» не забудьте установить флажок «Включить контроль запуска программ». В противном случае по умолчанию функция будет отключена. Чтобы добавить правило контроля, выполните следующие действия:
- Нажмите кнопку «Добавить». Откроется окно «Правило контроля запуска программ».
- Создайте параметры правила:
а) в поле «Название» введите название правила, например «Сменные носители»;
б) в таблице «Включающие условия» сформируйте список включающих условий срабатывания правила контроля запуска программ (в нашем случае включите «Условие по носителю файла» (см. экран 2);
|
|
| Экран 2. Проверка по носителю файла |
в) задайте список пользователей или групп пользователей, которым разрешено запускать программы, удовлетворяющие включающим условиям срабатывания правилам. В нашем случае удалите список «Все», нажав на кнопку «Удалить»;
г) задайте список пользователей, которым запрещено запускать программы, удовлетворяющие включающим условиям срабатывания правила. В нашем случае «Все». Если хотите, предоставьте разрешение на запуск локальному администратору.
Учтите, что правило не контролирует запуск программ пользователями или группами пользователей, которые не указаны в полях для разрешения и запрета запуска программ.
После выполнения перечисленных выше действий при попытке запуска пользователем программы со сменного носителя появится предупреждение, показанное на экране 3.ё
|
|
| Экран 3. Запуск со сменного носителя запрещен |
Если вы хотите запретить использование игр, это правило можно задать с помощью так называемых KL-категорий.
Однако больше всего хлопот вызывает применение различных браузеров и особенно их обновление. Так как проще всего, на мой взгляд, в корпоративной среде обновить Internet Explorer, создадим правило, которое будет разрешать запуск Internet Explorer, но запрещать применение всех остальных браузеров. Для этого сформируем правило, выполнив следующие шаги:
- Выберем категорию Запрет всех браузеров (из списка KL-категория) (см. экран 4).
- Исключение составляет Internet Explorer (см. экран 5).
|
|
| Экран 4. Правило запрета браузеров |
|
|
| Экран 5. Разрешение запуска |
Выбираем из списка запускавшихся программ Internet Explorer, однако указываем, что версия файла (программы) должна быть выше или на уровне текущей, что обеспечит запуск программы в случае обновления. Выполним проверку, для чего попробуем запустить браузер Opera (см. экран 6).
|
|
| Экран 6. Запуск Opera запрещен |
Итак, нам без труда удалось запретить нежелательные браузеры в организации. Ну и напоследок закроем доступ к играм.
Запрет доступа к играм
Создадим по аналогии с браузерами запрет на использование игровых программ в организации. Выбираем программы из категории «Развлечения», подкатегория «Игры» (см. экран 7).
|
|
| Экран 7. Выбор KL-категории «Игры» |
Как видите, создание запрета на игры аналогично предыдущему запрету на браузеры.
Безусловно, существует немало программ для контроля запуска тех или иных продуктов, и бездумное их применение может не только не улучшить, а даже ухудшить защиту вашей сети и уж тем более микроклимат в коллективе.
Перед тем как создавать те или иные правила контроля запуска программ, я бы рекомендовал вначале составить «матрицу ролей» ваших пользователей (то есть какой пользователь выполняет ту или иную задачу и, соответственно, нуждается в том или ином программном обеспечении). Исходя из этого следует определить необходимый минимум программного обеспечения и уже затем закрывать все остальное. Почему минимум? Во-первых, программное обеспечение стоит денег. Во-вторых, чем больше сторонних программ установлено на рабочем месте, тем выше вероятность ошибок пользователя. Ну и, наконец, чем больше на рабочем месте сторонних программ, тем выше риск проникновения в систему через уязвимые места в той или иной программе. А все это будет отрицательно сказываться как на производительности ваших сотрудников, так и на общем уровне безопасности организации.