如何清除runouce.exe
病毒运行后,会先将自己拷贝到windows\system\目录下,并取名为runouce.exe,然后开始搜索本地驱动器及网络驱动器,感染.exe、.scr和系统文件。对于windows\sys tem \目录,它也会先进行查找。接着在注册表项HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加:RunOuce:System\RunOuce.exe,这样,每次启动系统,病毒即随之运行。
注册表命令:regedit
对于添加的注册表项,病毒还会创建一个注册表监视的线程,对之不断监视,如果被修改,将立即重新写入病毒项,以保证自己的控制权。
病毒还有一个外部线程保证自己不断地取得对系统的控制权,使得病毒的清除更加困难!
在Win9x系统下,病毒学习CIH病毒进入核心层,将自身的部分代码复制到另外一个正在运行的程序内部,通过创建内核线程的方式,远程启动监视线程运行,监视自己的进程是否存在,如果不存在则将系统目录下的runouce.exe再次加载。
在WinNT系统下,病毒是利用系统的FindWindows函数寻找一个可被注入线程的运行程序(一般会找到Ex plorer.exe程序),之后病毒将这个进程打开并分配了一块内存,将自己的监视线程代码复制到该进程中,并在远程启动监视线程,监视病毒的进程是否存在,如果不存在则将系统目录下的runouce.exe再次加载。
中国黑客(worm.runouce)病毒分析该病毒是一个蠕虫病毒。不会感染可执行文件。
病毒在被激活的过程中会把病毒体自身复制到windows 的系统目录中。
在windows 9x 系统中复制自身到windows\system\runouce.exe .
在windows 2000和windows NT系统中复制自身到winnt\system32\runouce.exe。然后运行该程序。并且在注册表中加入成自启动。使病毒体每次开机时都被激活。
在Windows 9x系统上该病毒利用了CIH病毒相同的手法切换到零环,使自己进到系统级。然后复制78个字节到kernel32.dll的地址空间中。(在windows 98 与windows 95的系统中的偏移地址是bff70400处。然后通过CreateKernelThread函数建立一个内核线程。该线程的入口地址就是bff70400。这个内核线程调用了WaitForSingleObject函数使自身进入等待状态,来等待父进程的结束信号。如果父进程被结束,则该内核线程立即被唤醒。内核线程马上调用了WinExec函数,来重新启动病毒进程。
这样,在杀毒软件杀掉内存中的病毒进程后。病毒马上又被激活。这样造成杀不掉内存中的病毒。
该病毒在windows 2000操作系统上在explorer中注入线程。在explorer中的线程用来保
护病毒进程。如果病毒进程结束,则explorer中的病毒线程重新启动病毒进程。
该病毒通过以上的方法来起到在内存中保护病毒进程的作用。
该病毒有极强的局域网传染功能。
病毒通过搜索网上邻居中的可写文件夹,然后在每个可写文件夹中都生成一个以计算机器名命名的eml文件
。并且该eml文件是有自启动漏洞的eml文件。
发作现象:
在用户系统中若装有oicq聊天软件。则病毒进程每5个小时发作一次。发作时启动一个发作线程。这个发作线程会搜索名字为“发送消息”的窗口,若正在用oicq 发送消息时。病毒先会在发送窗口中输入12个回车换行符,然后病毒在以下的几句话放到发送消息的窗口中。
当用户点击发送按钮时就会被发送出去。输入的12个回车换行符作用是使病毒加入的文字信息超出窗口的可见区域。用来防止用户看到被加入文字内容
该病毒主要通过电子邮件传
播。它会搜索Windows地址簿的邮件地址,然后将自己作为邮件的附件向这些邮件地址发送。邮件的主题是“Hi,iam%s”,%s是中毒者的计算机名字,附件名为P.EXE,邮件源地址(From:XXX@hotmail.com)。
病毒还会利用国内著名的即时联络工具OICQ发送即时信息,病毒运行5个小时后创建一个线程,10分钟后关闭这个线程。这个线程用来寻找“发送消息”窗口,在这10分钟内如果找到了这个窗口,就向这个窗口写入12个回车换行和循环发送各种信息一条,共八次,用户如果中毒,聊天过程中将受到严重干扰
首先要注意轻易不要重起机器,每次重起都会损失更多的文件
搜索readme.eml并全部删除
针对它的三线程监控,我们首先点运行----gpedit.msc---用户配置---管理模板---系统----不要运行指定的WINDOWS程序,启用它并在里面添加runouce.exe
打开注册表把启动项目中的runouce.exe删除,包括machine和user下的启动
关闭runouce.exe进程
删除windows/system32/下的runouce.exe文件,并新建一个runouce.exe设为只读
重新启动重复以上的步骤
runonce.exe病毒清除方法
runonce.exe病毒导致CorelDRAW不能打开,今天早上朋友电脑CorelDRAW不能打开,我发现系统进程里面有一个runonce.exe的程序,结束任务不能结束此进程,在msconfig.exe配置文件没有发现runonce.exe的启动项,但在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下有项runonce,值为C:\windows\system32\runonce.exe,删除此项,由于没有专杀该病毒毒软件,采用手工清除该病毒的方法
由于朋友的机器不能上网,并且没有安装杀毒软件,于是进入安全模式手动删除runonce.exe 文件,发现重新启动电脑后,系统中又产生runonce.exe进程,于是再重新进入安全模式,把C:\windows\system32\runonce.exe删除后,建立文件夹runonce.exe(注意是文件夹,runonce.exe 是文件夹的名字),设置属性为"只读","隐藏","存档",重新启动电脑后CorelDRAW 12可以正常使用了
补充:
CorelDraw文件夹下有readme.eml
此方法没有完全清除病毒,如果你也中了该病毒,建议升级杀毒软件安全模式下全面杀毒
或者全部格式化掉重新安装系统