Co to jest Windows Shell Experience Host „shellexperiencehost.exe”

Niektórzy użytkownicy zastanawiali się, czy shellexperiencehost.exe jest legalnym procesem systemowym po wykryciu w Menedżerze zadań, że proces stale wykorzystuje zasoby systemowe (zwłaszcza zasoby procesora). Chociaż proces jest prawdopodobnie prawdziwym hostem Windows Shell Experience , możesz również mieć do czynienia ze złośliwym plikiem wykonywalnym z rodziny trojanów, które wykorzystują procesor ofiary do poszukiwania Monero lub innych walut cyfrowych.

Ten artykuł ma służyć jako przewodnik wyjaśniający, który ma pomóc użytkownikom zrozumieć cel działania shellexperiencehost.exe,  a także pomóc im w odróżnieniu prawdziwego pliku wykonywalnego od infekcji trojanem.

Co to jest ShellExperienceHost.exe?

Windows Shell Experience Host to oryginalny proces systemu Windows, który zapewnia funkcjonalność wyświetlania uniwersalnych aplikacji w okienkowym interfejsie. Zasadniczo ten proces obsługuje kilka elementów graficznych interfejsu aplikacji: przezroczystość paska zadań i menu startowego, kalendarz, zegar, zachowanie w tle, elementy wizualne powiadomień itp.

Kiedy  Windows Shell Experience Host  został po raz pierwszy wprowadzony z systemem Windows 10, pierwsze wersje zawierały błędy i zużywały dużo procesora i pamięci RAM. Jednak dzięki najnowszym aktualizacjom funkcjonalność tego procesu znacznie się poprawiła.

Normalnym zachowaniem shellexperiencehost.exe  jest zużywanie niewielkich lub zerowych zasobów procesora. Jeśli jednak będziesz go uważnie monitorować, powinieneś być w stanie zobaczyć sporadyczne skoki procesora po zmianie nowych elementów graficznych, ale wtedy zużycie powinno wrócić do zera. Zużycie pamięci nie powinno przekraczać 300 MB, nawet jeśli masz wiele aplikacji korzystających z  hosta środowiska Windows Shell Experience.

Potencjalne zagrożenie bezpieczeństwa?

Jeśli podejrzewasz, że shellexperiencehost.exe  nie jest oryginalny, możesz przeprowadzić dochodzenie, aby potwierdzić lub osłabić swoje podejrzenia. Możesz rozpocząć od monitorowania zużycia zasobów przez shellexperiencehost.exe Jeśli zauważysz, że proces regularnie zużywa ponad 20% twojego procesora i kilkaset pamięci RAM, możesz mieć do czynienia z fałszywym plikiem wykonywalnym.

Po zbadaniu tego problemu odkryliśmy dwóch trojanów górniczych ( ShellExperienceHost.exe i MicrosoftShellHost.exe)  , którzy używają procesora ofiary do wydobywania kryptowalut. Jak się okazuje, rodzina trojanów, która jest znana z kamuflażu jako  proces shellexperiencehost.exe , jest wykorzystywana do wydobywania cyfrowej waluty Monero.

Jeśli podejrzewasz, że masz do czynienia z trojanem, jego lokalizacja będzie główną gratką. Otwórz Menedżera zadań (Ctrl + Shift + Esc)  i znajdź  plik shellexperiencehost.exe (Host środowiska powłoki systemu Windows)  na karcie Procesy . Następnie kliknij prawym przyciskiem myszy  Windows Shell Experience Host  i wybierz Otwórz lokalizację pliku .

Uwaga: pamiętaj, że może być konieczne rozwinięcie menu rozwijanego w celu uzyskania dostępu do lokalizacji ShellExperienceHost.exe .

Jeśli ujawniona lokalizacja to  C: \ Windows \ SystemApps \ ShellExperienceHost_cw5n1h2txyewy , możesz mieć pewność, że plik wykonywalny nie jest złośliwy.

Jeśli plik wykonywalny znajduje się w innej lokalizacji i zauważyłeś stałe, wysokie zużycie zasobów, istnieje duże prawdopodobieństwo, że masz do czynienia z trojanem wydobywającym kryptowaluty. Szybkim sposobem potwierdzenia tego podejrzenia jest przesłanie pliku wykonywalnego do VirusTotal w celu analizy. Jeśli analiza wykaże, że plik wykonywalny jest rzeczywiście złośliwy, musisz podjąć niezbędne kroki, aby go usunąć.

Jeśli nie masz gotowego skanera bezpieczeństwa, zalecamy użycie Malwarebytes w celu usunięcia infekcji.

Czy powinienem usunąć ShellExperienceHost.exe?

Jeśli wcześniej  odkryłeś, że proces ShellExperienceHost.exe  jest prawidłowy, istnieje bardzo niewiele powodów, dla których chcesz wyłączyć lub usunąć plik wykonywalny. Wyłączenie  ShellExperienceHost.exe poważnie uniemożliwi systemowi operacyjnemu dostarczanie wizualizacji. Nawet jeśli usuniesz  plik wykonywalny ShellExperienceHost  , system Windows odtworzy go przy następnym uruchomieniu komputera.

Większość usterek systemu Windows 10, w których pojawia się komunikat Shell Experience Host, została rozwiązana przez najnowsze aktualizacje.