Добавлен в вирусную базу Dr.Web:
2020-04-17
Описание добавлено:
2020-04-18
Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] ‘ImagePath’ = ‘%WINDIR%\system_32.bat’
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\vir.cmd
- %WINDIR%\y.reg
- %WINDIR%\system_32.bat
Удаляет следующие файлы
- %TEMP%\ixp000.tmp\vir.cmd
Другое
Создает и запускает на исполнение
- ‘%WINDIR%\syswow64\cmd.exe’ /c %TEMP%\IXP000.TMP\vir.cmd’ (со скрытым окном)
Запускает на исполнение
- ‘%WINDIR%\syswow64\cmd.exe’ /c %TEMP%\IXP000.TMP\vir.cmd
- ‘%WINDIR%\syswow64\reg.exe’ import %WINDIR%\y.reg
- ‘%WINDIR%\syswow64\shutdown.exe’ -r -f -t 0
- ‘%WINDIR%\syswow64\runonce.exe’ /RunOnce6432
- ‘%WINDIR%\syswow64\rundll32.exe’ <SYSTEM32>\advpack.dll,DelNodeRunDLL32 «%TEMP%\IXP000.TMP\»
Пытается завершить работу операционной системы Windows.
Ребята всем хеллоушки. Сегодня мы с вами поговорим о такой штуке как RunOnce, которую вы видимо нашли в автозагрузке, верно? И мне что-то это не нравится.. А все дело в том, что RunOnce это название раздела реестра, откуда запускаются проги и вроде это только одноразовая автозагрузка.. Но не в этом суть. А в том что RunOnce — это название раздела реестра и почему у вас что-то сидит в автозагрузке с таким же названием? Может это попытка вас ввести в заблуждение? Типа чтобы вы поискали в интернете что такое RunOnce.. узнали что это раздел реестра и подумали — а, все нормально, эта штука безопасна.. моя первая мысль — что-то здесь нечисто…
Первое что я подумал — это вирус какой-то. Искал в интернете признаки того что это вирус и не нашел. Но я искал дальше и все таки нашел окно Конфигурация системы (msconfig) и тут я кое-что интересное обнаружил, а ну гляньте:
РЕКЛАМА
Ну просто нет слов. Сидит себе Runonce и запускается еще из системной папки:
C:\Windows\System32\
И что это такое runonce.exe? Поискал у себя (Win + E > поле в правом верхнем углу) и опачки, оказывается такой файл реально существует:
РЕКЛАМА
Для справки я вот ребята нашел инфу о том что такое в реестре RunOnce и RunOnceEx:
То есть что такое RunOnce в реестре мы теперь знаем.
А вот файл runonce.exe.. что он делает? Мне стало очень интересно. Начал переворачивать все в интернете чтобы найти инфу. На одном форуме чел спрашивает, опасен ли runonce.exe и ему отвечают что нет, в Windows 7 такая штука может быть.
На форуме Касперского чел пишет что у него при включении компа выскакивает окно с C:\Windows\System32\runonce.exe и выскакивает после выбора пользователя, и еще пишется такое:
The NTVDM CPU has encountered an illegal instruction
Чел также пишет что ноут может во время работы сам перезагружаться. Короче ребята, я думал вам тут напишу рецепт решения траблы, но увы, дело в том что там на форуме ему сказали что-то выполнить в AVZ, какой-то скрипт, но суть в том что ему это помогло! Вот ссылка на тему (это официальный форум Касперского):
https://forum.kaspersky.com/index.php?/topic/119810-излечено-при-загрузке-выскакивает-окно-cwindowssystem32runonceexe/
Какой вывод? В крайнем случае идите на форум этот и там по инструкции создайте тему и опишите траблу и вам скорее всего помогут
Значит ребята. Я посмотрел еще раз интернет, поискал инфу и не совсем все понятно — вирус это или нет. Должно ли быть так или нет, толком непонятно.
Ну и что делать, спросите вы? Мой план такой. Нужно создать точку восстановления и потом отключить Runonce из автозагрузки. Если будут траблы — есть точка восстановления. Если траблов не будет — в будущем Runonce можно будет удалить из автозагрузки полностью.
Значит создаем точку восстановление — зажимаем Win + R, вставляем в поле команду:
SystemPropertiesProtection
Нажали ОК, появится окно Свойства системы, выбрали системный диск и мышкой жмем по Создать (а если нужно будет восстановиться то кнопка выше так и называется):
Называть советую так чтобы было просто и понятно, я так и назову — До удаления Runonce:
Чуть ждемс:
Ну и все отличненько:
Все, точку мы создали, теперь можно смелее уже быть. По поводу автозагрузки, ее я анализирую при помощи AnVir Task Manager, это бесплатный инструмент для просмотра автозагрузки. Скачайте ее, реально она годная прога. У меня она уже установлена, вот я ее запустил и вот как она выглядит:
Тут вам нужно найти Runonce и нажать по нему правой кнопкой и выбрать в менюхе Отключить (я для примера выбрал amigo):
После этого из автозагрузки Runonce будет отключено и перемещено в раздел Карантин. Теперь необходимо сделать перезагрузку, после которой в принципе процесса runonce.exe в диспетчере быть не должно.
Я думал еще переименовать файл runonce.exe в папке System32, но вот подумал, он вроде идет как системный.. я пошел в папку System32, нашел файл этот и нажал по нему правой кнопкой, выбрал свойства и на вкладке Подробно в поле Описания файла вот что указано:
То есть это какая-то программа завершающей стадии установки.
Так, что теперь делать? Самое правильное — проверить комп антивирусными утилитами. Не ленитесь ребята, я серьезно! Всего нужно проверить тремя — это Dr.Web CureIt!, AdwCleaner, HitmanPro. Ребята, настоятельно советую вам проверить всеми этими утилитами. Dr.Web CureIt! скачать можно вот тут (официальный сайт):
https://free.drweb.ru/cureit/
Вот как выглядит утилита:
Вторую, то есть AdwCleaner можно скачать отсюдова (тоже офф сайт):
https://ru.malwarebytes.com/adwcleaner/
И как выглядит (ну у вас скорее всего будет на русском все):
Ну и HitmanPro, скачать можно тут (офф сайт):
https://www.hitmanpro.com/en-us/hmp.aspx
Внешний вид:
Всеми тремя утилитами пользоваться легко, если что — смотрите инструкции в интернете, их много. Даже если утилиты не найдут угрозы в Runonce, то такая проверка компа только на пользу, ибо могут быть найдены и другие вирусы всякие. Уж поверьте мне они у вас могут быть.
Забыл сказать! Когда в AnVir Task Manager отключите Runonce, то смотрите потом пару дней не будет ли проблем. Если не будет, то идете в раздел Карантин и оттуда уже удаляете Runonce.. стоп, стоп, стоп! А может не нужно удалять? Ведь оно все равно отключено.. в связи с тем что отключено и не мешает, я бы оставил, даже не знаю зачем.. Но я узнал кое-что важное! Оказывается что в AnVir Task Manager при удалении пункта из Карантина, то там еще можно удалить сразу файл! Ну вот я нажал правой кнопкой например по Microsoft-Windows-DiskDiagnosticResolver (что за дичь не знаю) и выбрал в Редактировать > Удалить запись:
И вот теперь смотрите, появилось окошко и тут можно поставить галочку — в итоге будет и файл удален, который запускается этой записью:
Даже есть опция автоматического удаления — то есть если появится, то AnVir Task Manager сразу удалит! Ну прога какая-то прям интеллектуальная, круто одним словом! Это я вам просто показал, удалять Runonce так не нужно, это просто пример. Но опция уж реально очень полезная.
Итак, написал я тут конечно многовато.. давайте подведем итоги кратко так бы сказать.
- Значит что такое Runonce — непонятно. Может это и вирус, который маскируется под системную штуку Runonce.
- Я не знал, но оказалось это правда, в винде действительно есть runonce.exe, то есть файл имеет название как раздел реестра. Этот файл есть и в Windows 7 и в Windows 10 (только что проверил).
- Перед всеми действиями обязательно создаем точку восстановления, мало ли иди знай.
- Для отключения Runonce из автозагрузки используем AnVir Task Manage.
- Если есть подозрение что Runonce это вирус, то советую не игнорировать мой совет и таки проверить комп антивирусными утилитами.
- Если Runonce это вирус, и его удалить вам сложно, то в таком случае стоит обратится на форумы по удалению вирусов — например форум SafeZone, Касперского, Доктора Веба.
РЕКЛАМА
На этом все друзья. Очень надеюсь что мои советы кому-то все таки реально помогли. Если что не так, то извините. Удачи вам и будьте счастливы!
When you boot into Windows, many of the user installed 3rd party applications start loading themselves up around the time you see the desktop, and will continue to do so until they’ve all completely loaded into memory. The problem with Windows is there are so many different methods for an application to load itself while booting, it can be quite difficult to keep track. That’s where a utility such as Sysinternals Autoruns comes in useful because it can help tell you what’s being started and from which location.
One of the auto startup locations and the most commonly used by software is the Run key in the registry which itself is located in at least 2 different places, the main ones are:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Users of 64-bit Windows will also get another 2 Run registry keys found in Software\Wow6432Node\Windows\CurrentVersion\Run for both Current user and Local machine. These are certainly some of the most important registry keys you should memorize because everything in the keys will start every time you boot into Windows. It is a favorite place for malware to insert itself so it can start with Windows and problematic software can be disabled from here as well.
Although the Run key executes all included programs on every boot (apart from booting to Safe Mode), there is another Run key that also boots all programs in its key. This key though, will run the programs when Windows boots the next time only, then the entries will be deleted and not executed again. The key is called RunOnce. Usually, the RunOnce key is used to delete system or locked files, and also by some software to make changes during a reboot.
Adding a program to RunOnce is very simple, all you need to do is create a new String value in the RunOnce key and provide the full path to the program that you want to run for the value. Even though getting things wrong in RunOnce won’t cause major issues, it’s understandable for people not wanting to take the risk. That’s why you can easily do it by using a free and portable tool called RunItOnce.
Simply execute the RunItOnce tool and it will open a file requester dialog asking you to select the program to run once on next boot. It will accept a .exe, .cmd, .bat file or a Windows shortcut. After clicking Open, if you were to look in the registry, you’ll see the key value will have instantly been created.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
A limitation to this tool is you can only add and cannot edit or delete the RunOnce keys, you have to do it manually using the Windows Registry. Or alternatively, download and execute this registry file which will delete any keys created by RunItOnce.
Download RunOnce Delete Registry File
RunItOnce can also be executed from the command prompt or batch files because it accepts the program to add as an argument. Please make sure to open the RunItOnce tool as administrator or else it won’t be able to make changes to the Windows registry and will give an error “RunItOnce Failed for: ProgramName”.
Download RunItOnce
The makers of RunItOnce, Favesoft, have also created another very similar tool which can add entries into the Run registry key so they run on every boot. The program is simply called RunIt and works in exactly the same way as RunItOnce.
Today was one of these days. Faced with a new problem I’ve never come across before. I was trying to configure a task to run once and only once on the server was provisioned for the first time. Something like a bootstrap script. In my quest to solve that problem, I came across a thing called Run and RunOnce registry keys!
What are Run(Once) registry keys?
Who knew that these things even existed, but here we are. So what do these keys really do? Let’s grab the definition from the official documentation on [MSDN](https://msdn.microsoft.com/en-us/library/aa376977(v=vs.85).aspx» target=»_blank)
Run and RunOnce registry keys cause programs to run each time that a user logs on. The data value for a key is a command line. Register programs to run by adding entries of the form
description-string=commandline. You can write multiple entries under a key. If more than one program is registered under any particular key, the order in which those programs run is indeterminate.
The Windows registry contains these 4 keys:
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Although they look very similar, there are subtle changes which we’ll need to highlight.
HKCU keys will run the task when a specific user, while HKLM keys will run the task at first machine boot, regardless of the user logging in.
The Run registry keys will run the task every time there’s a login. The RunOnce registry keys will run the taks once and then delete that key.
If you want to ensure that a RunOnce key is deleted only if its task is run successfully, you can prepend the key name value with an exclamation mark ‘!’.
In addition, if you want the RunOnce command to run even in Safe Mode, you can prepend the key name value with an asterisk ‘*’.
This is great at so many levels because you can execute some really powerful and complex tasks during the machine’s startup. In my case, I had to apply some DNS settings using PowerShell.
Configuration
You can configure the keys manually by firing up regedit.exe and navigating to the appropriate key.
Then you need to add a new string, give it a name and configure the appropriate task as it’s value.
However, if you aren’t not a GUI enthusiast and you prefer scripting it (I like PoSH for most things these days), you can run the following command to configure a new RunOnce task. Open a new PowerShell window and type the following:
Set-ItemProperty "HKLM:\Software\Microsoft\Windows\CurrentVersion\RunOnce" -Name '!RegisterDNS' -Value "c:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -noexit -command 'Register-DnsClient'"
And that’s all there is to it. With a couple of lines of PowerShell or a few clicks in the GUI, we can quickly setup a task to run once or at every login for a specific user or every user. A handy little utility and, as we all know, it’s the small things/wins that count, right?
Important This section, method, or task contains steps that tell you how to modify the registry. However, serious problems might occur if you modify the registry incorrectly. Therefore, make sure that you follow these steps carefully. For added protection, back up the registry before you modify it. Then, you can restore the registry if a problem occurs. For more information about how to back up and restore the registry, click the following article number to view the article in the Microsoft Knowledge Base:
322756 How to back up and restore the registry in Windows
RunOnceEx has the following features:
- Status: A dialog box is displayed while the items contained in the registry key are being processed. The entries to be processed are grouped into sections and the dialog box highlights the current section being processed. You can disable the status dialog box feature.
- Performance: The majority of the commands contained in the Run and RunOnce registry keys create separate processes, which is inefficient. The RunOnceEx registry key does not create a separate process. The RunOnceEx registry key also supports a dependency list of DLLs that remain loaded while either all the sections or some of the sections are being processed.
- Error Handling: If an exception occurs while calling a function in a DLL, the exception is caught and an error dialog box is displayed to the user. You can suppress this error dialog box by using a flag in the RunOnceEx registry key. You can also set a flag to enable log errors and run the RunOnceEx registry key.
- Deterministic: The RunOnceEx registry key sorts the entries and sections alphabetically to force a deterministic order.
The Runonce.exe and Runonce.exe.mui files are located at the following locations:
32-bit systems: -------------------- C:\Windows\System32\runonce.exe Windows Vista and higher: C:\Windows\System32\en-US\runonce.exe.mui 64-bit systems: -------------------- 64-bit processes: C:\Windows\System32\runonce.exe Windows Vista and higher: C:\Windows\System32\en-US\runonce.exe.mui 32-bit processes: C:\Windows\SysWOW64\runonce.exe Windows Vista and higher: C:\Windows\SysWOW64\en-US\runonce.exe.mui
In Windows 2000, Windows XP and Windows Server 2003, the RunOnceEx registry key
exists by default:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
In Windows Vista, Windows Server 2008, Windows 7 and Windows Server 2008 R2. the RunOnceEx registry key does not exist by default:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx key
RunOnceEx Sample to Run Notepad
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Title
= «My Setup Title»
Flags
= dword:00000002
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\0001
RunMyApp
= «||notepad.exe»
Sample Syntax
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Flags
= dword:00000000
Title
= «Status Dialog Box Title»
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\Depend
0001
= »
xxx
1″
000
X
= »
xxxx
»
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\0001
Entry1
= «MyApp1.exe»
Entry
X
= «MyApp2.exe»
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\000
x
Notes
- «xxx1, xxxx» is a dynamic-link library (DLL) or .ocx file name (such as My.ocx or My.dll).
- «0001, 000x» are section names. Section names can be alphanumeric.
- «entry1, entryX» are registry string values that point to a program file to run.
Definition of Values and Subkeys
Flags
is a DWORD value located in the
RunOnceEx
key to enable/disable the following settings.
| Value | Function | Function definition |
|---|---|---|
| 0x00000000 | Default | All functions are disabled |
| 0x00000004 | Check Shell Status | Verifies the shell is ready to accept OLE commands |
| 0x00000008 | No Error Dialogs | Error dialog boxes are not displayed |
| 0x00000010 | Create Error Log File | Create C:\Windows\RunOnceEx.err file if errors occur |
| 0x00000020 | Create Execution Log File | Create a C:\Windows\RunOnceEx.log file with status of commands |
| 0x00000040 | No Exception Trapping | Does not trap exceptions that occur when registering DLLs |
| 0x00000080 | No Status Dialog | Status dialog box is not displayed while RunOnceEx runs |
The values are cumulative. If you want «No Status Dialog» and «Create Error Log File,» set Flags to hexadecimal 90 (80 + 10).
Title is a STRING value that you can use to fill in the Status dialog box title.
The
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\Depend
registry key contains the .dll files and the .ocx files that should be kept loaded in the memory while all sections of RunOnceEx are running.
The HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\000X registry keys contain entries to be run. These sections are run in alphabetical order. Therefore, the
…\RunOnceEx\0001
section is processed before the
…\RunOnceEx\0002
section.
The string values within a
…RunOnceEx\000
x
section contain the commands that should be run for the section. The format is:
»
DllFileName
|
FunctionName
|
CommandLineArguements
»
-or-
«||
command parameters
»
For example:
«Line1» = «||my.exe -quiet -url http://www.microsoft.com/»
«Line2» = «shdocvw.dll|DllRegisterServer»
Line1 runs the «my.exe -quiet -url http://www.microsoft.com/» command line. Line2 runs the DllRegisterServer function in Shdocvw.dll.
The
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\000
x
\Depend
registry key contains the .dll files and the .ocx files that should be kept in memory while section
000
x
is running.
For more information, click the following article number to view the article in the Microsoft Knowledge Base:
232487
Description of the RunOnceEx Registry Key
232509 Syntax for the RunOnceEx Registry Key
For more information about the RunOnce Request, visit the following Microsoft Web site:
For more information about, visit the following Microsoft Web site: