runonce.exe是什么进程,注册表中“RunOnce”是什么意思?
进程文件: runonce 或者 runonce.exe。 进程名称: Runonce。 runonce.exe 是微软Run Once 的包装。它用于第三方应用程序的安装程序。它允许安装程序添加到启动项中,用于再次启动后,进行进一步配置。这个程序对你系统的正常运行是非常重要的。 出品者: Microsoft Corp. 属于:Windows 系统进程: 是 后台程序: 否 使用网络: 否 硬件相关: 否 常见错误: 未知N/A 内存使用: 未知N/A 安全等级(0-5):0 间谍软件: 否 Adware: 否 广告软件: 否 木马: 否 英文版本 进程文件: runonce.exe or runonce 进程名称: Runonce。 小提示:runonce.exe 本身是一个微软的应用程序进程,但很多病毒会集成或篡改此进程。可以简单的检查此进程是否有病毒。方法:在任务栏点右键---打开任务管理器---在“性能”看CPU 的使用率---如果高的话在“进程”处查看哪个进程使用了大量的系统资源,一般不做操作的时候,CPU 使用不到5% (这个方法也是检查电脑运行是否正常的最直观方法) 如果发现这个进程有问题,只要使用360 是可以查杀掉的,只需要重启就好了。 二、注册表中“RunOnce”是什么意思? 从字面翻译过来叫:只运行一次 实际上我们在安装某些程序的时候,他需要在电脑下次重新启动之后做一些初始化之类的动作,这些启动项就放在注册表的RunOnce 里面,在电脑重启之后只运行一次! 那其他的一些只需要运行一次的自启动项也会放在这里面! RunOnce 键值类似于 Run 键值,唯一的区别在于,RunOnce 键值只执行一次,操作执行后会被自动删除。
Runouce.exe的病毒资料
在Windows 9x系统上该病毒利用了CIH病毒相同的手法切换到零环,使自己进到系统级。然后复制78个字节到kernel32.dll的地址空间中。(在Windows 98 与windows 95的系统中的偏移地址是 bff70400处。 然后通过CreateKernelThread函数建立一个内核线程。 该线程的入口地址就是bff70400。这个内核线程调用了WaitForSingleObject函数使自身进入等待状态,来等待父进程的结束信号。如果父进程被结束,则该内核线程立即被唤醒。内核线程马上调用了WinExec函数,来重新启动病毒进程。这样,在杀毒软件杀掉内存中的病毒进程后。病毒马上又被激活。这样造成杀不掉内存中的病毒。该病毒在windows 2000操作系统上以独创的“三线程”结构来传播并保护自己。病毒运行后,会先将自己拷贝到windows\system\目录下,并取名为runouce.exe,然后开始搜索本地驱动器及网络驱动器,感染.exe、.scr和系统文件。对于windows\system32\目录,它也会先进行查找。接着在注册表项HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加:RunOuce:System32\RunOuce.exe,这样,每次启动系统,病毒即随之运行。对于添加的注册表项,病毒还会创建一个注册表监视的线程,对之不断监视,如果被修改,将立即重新写入病毒项,以保证自己的控制权。病毒还有一个外部线程保证自己不断地取得对系统的控制权,使得病毒的清除更加困难! 该病毒通过以上的方法来起到在内存中保护病毒进程的作用。该病毒有极强的局域网传染功能。病毒通过搜索网上邻居中的可写文件夹,然后在每个可写文件夹中都生成一个以计算机器名命名的eml文件。并且该eml文件是有自启动漏洞的eml文件。
推荐阅读
- ○ CFO总变成CEO这背后是隐藏着什么秘密呢?
- ○ qq估价器在线查询
- ○ 淘宝店铺装修代码大全
- ○ 街拍齐b小短裙
- ○ 苹果12Pro参数
- ○ 淘宝返利网怎么用
- ○ acfun下载
- ○ 斗战神嗜血牛加点
- ○ baidu翻译
- ○ dnf悲叹之塔耳环
最新文章
- ○ CFO总变成CEO这背后是隐藏着什么秘密呢?
- ○ qq估价器在线查询
- ○ 淘宝店铺装修代码大全
- ○ 街拍齐b小短裙
- ○ 苹果12Pro参数
- ○ 淘宝返利网怎么用
- ○ acfun下载
- ○ 斗战神嗜血牛加点
- ○ baidu翻译
- ○ dnf悲叹之塔耳环