runonce.exe病毒清除方法

至于专杀工具还没有找到.可以采用手工清楚.大家可以参考下面的资料!

这个病毒以独创的“三线程”结构来传播并保护自己。

病毒运行后，会先将自己拷贝到windows＼system＼目录下，并取名为runouce．exe，然后开始搜索本地驱动器及网络驱动器，感染．exe、．scr和系统文件。对于windows＼sys tem＼目录，它也会先进行查找。接着在注册表项HKEY＿LOCAL＿MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run下添加：RunOuce：System＼RunOuce．exe，这样，每次启动系统，病毒即随之运行。

对于添加的注册表项，病毒还会创建一个注册表监视的线程，对之不断监视，如果被修改，将立即重新写入病毒项，以保证自己的控制权。

病毒还有一个外部线程保证自己不断地取得对系统的控制权，使得病毒的清除更加困难！

在Win9x系统下，病毒学习CIH病毒进入核心层，将自身的部分代码复制到另外一个正在运行的程序内部，通过创建内核线程的方式，远程启动监视线程运行，监视自己的进程是否存在，如果不存在则将系统目录下的runouce．exe再次加载。

在WinNT系统下，病毒是利用系统的FindWindows函数寻找一个可被注入线程的运行程序（一般会找到Ex plorer．exe程序），之后病毒将这个进程打开并分配了一块内存，将自己的监视线程代码复制到该进程中，并在远程启动监视线程，监视病毒的进程是否存在，如果不存在则将系统目录下的runouce．exe再次加载。

中国黑客(worm.runouce)病毒分析该病毒是一个蠕虫病毒。不会感染可执行文件。

      病毒在被激活的过程中会把病毒体自身复制到 windows 的系统目录中。

      在windows 9x 系统中复制自身到 windows\system\runouce.exe .

      在windows 2000和 windows NT系统中复制自身到winnt\system32\runouce.exe。然后运行该程序。并且在注册表中加入成自启动。使病毒体每次开机时都被激活。

      在Windows 9x系统上该病毒利用了CIH病毒相同的手法切换到零环，使自己进到系统级。然后复制78个字节到kernel32.dll的地址空间中。（在windows 98 与windows 95的系统中的偏移地址是 bff70400处。 然后通过CreateKernelThread函数建立一个内核线程。 该线程的入口地址就是bff70400。这个内核线程调用了WaitForSingleObject函数使自身进入等待状态，来等待父进程的结束信号。如果父进程被结束，则该内核线程立即被唤醒。内核线程马上调用了WinExec函数，来重新启动病毒进程。

      这样，在杀毒软件杀掉内存中的病毒进程后。病毒马上又被激活。这样造成杀不掉内存中的病毒。

      该病毒在windows 2000操作系统上在explorer中注入线程。在explorer中的线程用来保护病毒进程。 如果病毒进程结束，则explorer中的病毒线程重新启动病毒进程。

      该病毒通过以上的方法来起到在内存中保护病毒进程的作用。

      该病毒有极强的局域网传染功能。

      病毒通过搜索网上邻居中的可写文件夹，然后在每个可写文件夹中都生成一个以计算机器名命名的eml文件
。并且该eml文件是有自启动漏洞的eml文件。

      发作现象：

      在用户系统中若装有oicq聊天软件。则病毒进程每5个小时发作一次。发作时启动一个发作线程。这个发作线程会搜索名字为“发送消息”的窗口，若正在用oicq 发送消息时。病毒先会在发送窗口中输入12个回车换行符，然后病毒在以下的几句话放到发送消息的窗口中。

      当用户点击发送按钮时就会被发送出去。 输入的12个回车换行符作用是使病毒加入的文字信息超出窗口的可见区域。用来防止用户看到被加入文字内容

该病毒主要通过电子邮件传

播。它会搜索Windows地址簿的邮件地址，然后将自己作为邮件的附件向这些邮件地址发送。邮件的主题是“Hi，iam％s”，％s是中毒者的计算机名字，附件名为P．EXE，邮件源地址（From：XXX＠hotmail．com）。

病毒还会利用国内著名的即时联络工具OICQ发送即时信息，病毒运行5个小时后创建一个线程，10分钟后关闭这个线程。这个线程用来寻找“发送消息”窗口，在这10分钟内如果找到了这个窗口，就向这个窗口写入12个回车换行和循环发送各种信息一条，共八次，用户如果中毒，聊天过程中将受到严重干扰

首先要注意轻易不要重起机器，每次重起都会损失更多的文件

搜索readme.eml并全部删除    

针对它的三线程监控，我们首先点运行—-gpedit.msc—用户配置—管理模板—系统—-不要运行指定的WINDOWS程序，启用它并在里面添加 runouce.exe

打开注册表把启动项目中的runouce.exe删除，包括machine和user下的启动

关闭runouce.exe进程

删除windows/system32/下的runouce.exe文件，并新建一个runouce.exe设为只读

重新启动重复以上的步骤

runonce.exe病毒导致CorelDRAW不能打开,今天早上朋友电脑 CorelDRAW不能打开,我发现系统进程里面有一个runonce.exe的程序,结束任务不能结束此进程,在msconfig.exe配置文件没有 发现runonce.exe的启动项,但在注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下有项 runonce,值为 C:\windows\system32\runonce.exe,删除此项,由于没有专杀该病毒毒软件,采用手工清除该病毒的方法

由于朋友的机器不能上网,并且没有安装杀毒软件,于是进入安全模式手动删除runonce.exe文件,发现重新启动电脑后,系统中又产生 runonce.exe进程,于是再重新进入安全模式,把C:\windows\system32\runonce.exe删除后,建立文件夹 runonce.exe(注意是文件夹,runonce.exe是文件夹的名字),设置属性为”只读”,”隐藏”,”存档”,重新启动电脑后 CorelDRAW 12可以正常使用了

补充:
CorelDraw文件夹下有readme.eml
此方法没有完全清除病毒,如果你也中了该病毒,建议升级杀毒软件安全模式下全面杀毒
或者全部格式化掉重新安装系统

runonce.exe病毒导致CorelDRAW不能打开,今天早上朋友电脑 CorelDRAW不能打开,我发现系统进程里面有一个runonce.exe的程序,结束任务不能结束此进程,在msconfig.exe配置文件没有发现runonce.exe的启动项,但在注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下有项 runonce,值为 C:windowssystem32runonce.exe,删除此项,