Runonce что это в автозагрузке

RunOnce что это в автозагрузке? (процесс runonce.exe)

Ребята всем хеллоушки. Сегодня мы с вами поговорим о такой штуке как RunOnce, которую вы видимо нашли в автозагрузке, верно? И мне что-то это не нравится.. А все дело в том, что RunOnce это название раздела реестра, откуда запускаются проги и вроде это только одноразовая автозагрузка.. Но не в этом суть. А в том что RunOnce — это название раздела реестра и почему у вас что-то сидит в автозагрузке с таким же названием? Может это попытка вас ввести в заблуждение? Типа чтобы вы поискали в интернете что такое RunOnce.. узнали что это раздел реестра и подумали — а, все нормально, эта штука безопасна.. моя первая мысль — что-то здесь нечисто…

Первое что я подумал — это вирус какой-то. Искал в интернете признаки того что это вирус и не нашел. Но я искал дальше и все таки нашел окно Конфигурация системы (msconfig) и тут я кое-что интересное обнаружил, а ну гляньте:

Ну просто нет слов. Сидит себе Runonce и запускается еще из системной папки:

И что это такое runonce.exe? Поискал у себя (Win + E > поле в правом верхнем углу) и опачки, оказывается такой файл реально существует:

Для справки я вот ребята нашел инфу о том что такое в реестре RunOnce и RunOnceEx:

То есть что такое RunOnce в реестре мы теперь знаем.

А вот файл runonce.exe.. что он делает? Мне стало очень интересно. Начал переворачивать все в интернете чтобы найти инфу. На одном форуме чел спрашивает, опасен ли runonce.exe и ему отвечают что нет, в Windows 7 такая штука может быть.

На форуме Касперского чел пишет что у него при включении компа выскакивает окно с C:\Windows\System32\runonce.exe и выскакивает после выбора пользователя, и еще пишется такое:

The NTVDM CPU has encountered an illegal instruction

Чел также пишет что ноут может во время работы сам перезагружаться. Короче ребята, я думал вам тут напишу рецепт решения траблы, но увы, дело в том что там на форуме ему сказали что-то выполнить в AVZ, какой-то скрипт, но суть в том что ему это помогло! Вот ссылка на тему (это официальный форум Касперского):

Какой вывод? В крайнем случае идите на форум этот и там по инструкции создайте тему и опишите траблу и вам скорее всего помогут

Значит ребята. Я посмотрел еще раз интернет, поискал инфу и не совсем все понятно — вирус это или нет. Должно ли быть так или нет, толком непонятно.

Ну и что делать, спросите вы? Мой план такой. Нужно создать точку восстановления и потом отключить Runonce из автозагрузки. Если будут траблы — есть точка восстановления. Если траблов не будет — в будущем Runonce можно будет удалить из автозагрузки полностью.

Значит создаем точку восстановление — зажимаем Win + R, вставляем в поле команду:

Нажали ОК, появится окно Свойства системы, выбрали системный диск и мышкой жмем по Создать (а если нужно будет восстановиться то кнопка выше так и называется):

Называть советую так чтобы было просто и понятно, я так и назову — До удаления Runonce:

Ну и все отличненько:

Все, точку мы создали, теперь можно смелее уже быть. По поводу автозагрузки, ее я анализирую при помощи AnVir Task Manager, это бесплатный инструмент для просмотра автозагрузки. Скачайте ее, реально она годная прога. У меня она уже установлена, вот я ее запустил и вот как она выглядит:

Тут вам нужно найти Runonce и нажать по нему правой кнопкой и выбрать в менюхе Отключить (я для примера выбрал amigo):

После этого из автозагрузки Runonce будет отключено и перемещено в раздел Карантин. Теперь необходимо сделать перезагрузку, после которой в принципе процесса runonce.exe в диспетчере быть не должно.

Я думал еще переименовать файл runonce.exe в папке System32, но вот подумал, он вроде идет как системный.. я пошел в папку System32, нашел файл этот и нажал по нему правой кнопкой, выбрал свойства и на вкладке Подробно в поле Описания файла вот что указано:

То есть это какая-то программа завершающей стадии установки.

Так, что теперь делать? Самое правильное — проверить комп антивирусными утилитами. Не ленитесь ребята, я серьезно! Всего нужно проверить тремя — это Dr.Web CureIt!, AdwCleaner, HitmanPro. Ребята, настоятельно советую вам проверить всеми этими утилитами. Dr.Web CureIt! скачать можно вот тут (официальный сайт):

Вот как выглядит утилита:

Вторую, то есть AdwCleaner можно скачать отсюдова (тоже офф сайт):

И как выглядит (ну у вас скорее всего будет на русском все):

Ну и HitmanPro, скачать можно тут (офф сайт):

Всеми тремя утилитами пользоваться легко, если что — смотрите инструкции в интернете, их много. Даже если утилиты не найдут угрозы в Runonce, то такая проверка компа только на пользу, ибо могут быть найдены и другие вирусы всякие. Уж поверьте мне они у вас могут быть.

Забыл сказать! Когда в AnVir Task Manager отключите Runonce, то смотрите потом пару дней не будет ли проблем. Если не будет, то идете в раздел Карантин и оттуда уже удаляете Runonce.. стоп, стоп, стоп! А может не нужно удалять? Ведь оно все равно отключено.. в связи с тем что отключено и не мешает, я бы оставил, даже не знаю зачем.. Но я узнал кое-что важное! Оказывается что в AnVir Task Manager при удалении пункта из Карантина, то там еще можно удалить сразу файл! Ну вот я нажал правой кнопкой например по Microsoft-Windows-DiskDiagnosticResolver (что за дичь не знаю) и выбрал в Редактировать > Удалить запись:

И вот теперь смотрите, появилось окошко и тут можно поставить галочку — в итоге будет и файл удален, который запускается этой записью:

Даже есть опция автоматического удаления — то есть если появится, то AnVir Task Manager сразу удалит! Ну прога какая-то прям интеллектуальная, круто одним словом! Это я вам просто показал, удалять Runonce так не нужно, это просто пример. Но опция уж реально очень полезная.

Итак, написал я тут конечно многовато.. давайте подведем итоги кратко так бы сказать.

1. Значит что такое Runonce — непонятно. Может это и вирус, который маскируется под системную штуку Runonce.
2. Я не знал, но оказалось это правда, в винде действительно есть runonce.exe, то есть файл имеет название как раздел реестра. Этот файл есть и в Windows 7 и в Windows 10 (только что проверил).
3. Перед всеми действиями обязательно создаем точку восстановления, мало ли иди знай.
4. Для отключения Runonce из автозагрузки используем AnVir Task Manage.
5. Если есть подозрение что Runonce это вирус, то советую не игнорировать мой совет и таки проверить комп антивирусными утилитами.
6. Если Runonce это вирус, и его удалить вам сложно, то в таком случае стоит обратится на форумы по удалению вирусов — например форум SafeZone, Касперского, Доктора Веба.

На этом все друзья. Очень надеюсь что мои советы кому-то все таки реально помогли. Если что не так, то извините. Удачи вам и будьте счастливы!

Runonce что это в автозагрузке

Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Сообщения: 143
Благодарности: 22

Nerdy, и что там написано в двух словах?

Сообщения: 3945
Благодарности: 795

freeman440, это обязательный параметр файла runonce.exe для однократного выполнения команд при входе пользователя в систему, прописанных в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce. Обычно является завершающей фазой установки программы/приложения.

Это сообщение посчитали полезным следующие участники:

Сообщения: 143
Благодарности: 22

Nerdy, а у меня получается каждый раз выполняется RunOnce /Explorer
это же не нормально?

Сообщения: 3945
Благодарности: 795

Цитата freeman440:

это же не нормально? »

Нет, конечно.
Какая-то программа пытается установиться и каждый раз терпит неудачу, при этом снова прописывая себя в автозагрузку.

Сообщения: 352
Благодарности: 38

Конфигурация компьютера
Процессор: Intel(R) Celeron(R) N4020 CPU @ 1.10GHz, 1101 МГц, ядер: 2, логических процессоров: 2
Материнская плата: ASUSTeK COMPUTER INC. X540MAR 1.0
Память: (RAM) 4,00 ГБ
HDD: KINGSTON RBUSC180DS37128GJ (119 ГБ) C: D:
Видеокарта: Intel(R) UHD Graphics 600
Звук: Intel Gemini Lake HDMI @ Intel Gemini Lake SoC — High Definition Audio Controller
Блок питания: Адаптер питания к ноутбуку
Монитор: BOEhydis NT156WHM-N42 [15.6″ LCD]
Ноутбук/нетбук: VivoBook_ASUSLaptop X540MAR_A543MA
ОС: Майкрософт Windows 10 Домашняя Версия 10.0.19045.3448
Индекс производительности Windows: от 4,4 до 9,9

Цитата Nerdy:

Цитата freeman440: это же не нормально? » Нет, конечно. Какая-то программа пытается установиться и каждый раз терпит неудачу, при этом снова прописывая себя в автозагрузку. »

А у меня подобие такой записи сама появилась ! Я её выключил,а она потом опять сама включилась.Искал про неё инфу,но так и не нашёл её.Так и не знаю — для чего эта запись ? Может кто-то тут на форуме знает про эту запись ?

——-
Раньше ждали Дембеля,а сейчас Общения!
Частичку своей жизни я оставил в Германской Демократической Республике!

Сообщения: 143
Благодарности: 22

Цитата Nerdy:

Какая-то программа пытается установиться и каждый раз терпит неудачу, при этом снова прописывая себя в автозагрузку. »

это как-то можно отследить?

Сообщения: 3945
Благодарности: 795

Москвич, у вас запускается программа восстановления системы Win 7(rstrui.exe) при входе в систему и пытается что-то восстановить.
freeman440, выложите информацию (сохраните в файл .arn) вкладки Все(Everything) из Autoruns.

Сообщения: 352
Благодарности: 38

Конфигурация компьютера
Процессор: Intel(R) Celeron(R) N4020 CPU @ 1.10GHz, 1101 МГц, ядер: 2, логических процессоров: 2
Материнская плата: ASUSTeK COMPUTER INC. X540MAR 1.0
Память: (RAM) 4,00 ГБ
HDD: KINGSTON RBUSC180DS37128GJ (119 ГБ) C: D:
Видеокарта: Intel(R) UHD Graphics 600
Звук: Intel Gemini Lake HDMI @ Intel Gemini Lake SoC — High Definition Audio Controller
Блок питания: Адаптер питания к ноутбуку
Монитор: BOEhydis NT156WHM-N42 [15.6″ LCD]
Ноутбук/нетбук: VivoBook_ASUSLaptop X540MAR_A543MA
ОС: Майкрософт Windows 10 Домашняя Версия 10.0.19045.3448
Индекс производительности Windows: от 4,4 до 9,9

Цитата Nerdy:

Москвич, у вас запускается программа восстановления системы Win 7(rstrui.exe) при входе в систему и пытается что-то восстановить. »

У меня при загрузке важных обновлений создаются точки восстановления.
А так же в Планировщике заданий есть задача — SystemRestore,которая по понедельникам в 22:58 — При выполнении этой задачи будут созданы обычные точки восстановления системы.Может для этого прописана программа ? И при проверке системных файлов командой от админа — sfc /scannow система выдаёт,что всё в порядке.А иногда было при каком-либо глюке(я или в службах что-то тронул,или обновление встало криво),я делаю откат системы назад.Может её выключить ? И посмотреть при установке обновлений,будут ли создаваться точки отката ? И где найти эту программу на системном диске ? Подскажите пожалуйста.

——-
Раньше ждали Дембеля,а сейчас Общения!
Частичку своей жизни я оставил в Германской Демократической Республике!

Истории из жизни вредоносов: прячемся в автозагрузку ОС Windows

Основной задачей, которую необходимо решить вредоносному файлу сразу после запуска является закрепление в системе, то есть обеспечение возможно постоянной работы данного процесса в системе. То есть, злоумышленнику необходимо, чтобы процесс, с помощью которого он может получить доступ в систему (троян, бэкдор и т. д.) запускался бы автоматически при загрузке системы и работал во время всего сеанса работы системы. Существует несколько методов закрепиться в системе. В этой статье мы рассмотрим наиболее распространенные способы закрепления в ОС Windows, а также посмотрим, как некоторые из этих техник выглядят в отладчике. Будем считать, что для запуска нужного процесса злоумышленнику так или иначе необходимо запустить выполнимый файл.

Ветка Run

Начнем с наиболее известного места, где можно прописать автоматический запуск приложения при старте системы — реестра Windows. И прежде всего приложения, желающие стартовать вместе с ОС прописывают себя в ветки

Для первого варианта нам необходимы права локального администратора. Для того, чтобы прописать автоматический запуск файла, необходимо добавить новое значение в ветку Run.

Однако, важно понимать, что манипуляции с данными ветками реестра также отслеживают и средства защиты. Так антивирус будет очень внимательно следить за тем, какие приложения собираются прописать свои файлы в эти ветки реестра. И попытка неизвестного ранее приложения прописаться в ветку Run может привести к срабатыванию антивируса.

Также, если вам необходимо один раз выполнить какой-либо файл. Например, вам необходимо прописать в системе сервис, то можно воспользоваться ключом RunOnce.

Если мы хотим выполнить файл один раз для конкретного пользователя, то необходимо прописать файл в ветке:

Однако, этими, наиболее известными ветками реестра возможности спрятаться в автозагрузку не ограничиваются. Так, за автозагрузку в профиле текущего пользователя отвечают ветки реестра показанные ниже.

Посмотрим, как код, правящий реестр выглядит в отладчике.

Конечно, любой здравомыслящий вредонос постарается максимально скрыть от отладки как разделы памяти в которых указаны ветки реестра и записываемые значения, так и сами вызовы функций для работы с реестром. Но в представленном на скриншоте примере мы видим обращения к реестру: RegOpenKeyEx, RegCreateKey, RegCloseKey. По вызовам этих функций можно понять, что приложение в принципе работает с реестром. В случае, если вносятся правки в представленные выше ветки, то вероятнее всего мы имеем дело с вредоносом.

Сервисы в реестре

Еще одним способом поселиться в автозагрузку является использование системных служб – сервисов. Сервис (служба) – это приложение, автоматически исполняемое системой при запуске операционной системы Windows и выполняющиеся вне зависимости от статуса пользователя.

Существует несколько режимов для служб:

• запрещён к запуску;
• ручной запуск (по запросу);
• автоматический запуск при загрузке компьютера;
• автоматический (отложенный) запуск;
• обязательная служба/драйвер (автоматический запуск и невозможность (для пользователя) остановить службу).

Соответственно, для того, чтобы осуществить автоматический запуск какого-либо выполнимого файла, нам необходимо прописать его как сервис. И здесь кроются некоторые сложности. Дело в том, что сервис – это, не совсем обычный выполнимый файл. Для его запуска недостаточно просто создать exe файл и запустить его. Вместо этого нам необходимо зарегистрировать сервис в системе и только потом его можно запускать.

На скриншоте ниже представлен фрагмент кода, в котором формируется набор значений в стеке (в том числе имя выполняемого файла и самого сервиса) и затем все это передается функции CreateService для создания сервиса.

После того, как сервис зарегистрирован в системе его можно запустить с помощью вызова функции OpenService.

Помимо использования функций ОС предназначенных непосредственно для работы с сервисами, для регистрации и запуска сервиса можно воспользоваться командой sc. В примере ниже мы создаем процесс, который запускает команду sc start NewServ. CreateProcess не единственная функция для запуска процессов. В одной из предыдущих статей по реверсингу мы использовали функцию WinExec для запуска калькулятора при реализации переполнения буфера.

В общем, не стоит забывать про такой простой способ работы с сервисами, как консольные команды.

И еще с сервисами можно работать через реестр. Для этого предназначена ветка

В ней находятся разделы, описывающие работу каждого из сервисов, зарегистрированных в операционной системе.

На скриншоте показаны параметры сервиса DHCP. Как видно, в этой ветке имеются параметры, отвечающие за параметры запуска сервиса, аккаунт, от которого он запускается и собственно сам путь к выполнимому файлу. Таким образом, работу с сервисами можно организовать с помощью манипуляций с реестром.

Скрытый отладчик

Представленные выше способы регистрации в автозагрузке в большей или меньшей степени видны пользователю системы. Так запущенные сервисы можно легко увидеть в соответствующей оснастке, а ветки Run хорошо всем известны, и можно без труда проверить их содержимое.

Однако, в реестре есть менее известные ветки, в которые тоже можно подселить выполнимый файл. В данном случае речь пойдет не совсем об автозагрузке как таковой, но при желании здесь тоже можно организовать автозапуск.

Разработчики из Майкрософт очень любят оставлять себе лазейки в виде недокументированных возможностей. В частности, они предусмотрели функционал по автоматическому запуску отладчика для заданного приложения. Работает это следующим образом: в ветке реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Image File Execution Options\

Мы создаем раздел с именем запускаемого приложения, а в этом разделе создаем параметр Debug в котором уже указываем выполнимый файл, запускаемый в реальности.

То есть, в примере на скриншоте при попытке запуска калькулятора у нас запустится некий prog.exe. Таким образом можно под видом одного приложения запустить другое. Можно к примеру подменить экранную клавиатуру (osk.exe) на командную строку (cmd.exe). В результате можно будет на заблокированном компьютере вызывать клавиатуру и получать командную строку, причем с правами System!

Небезопасные обновления

Продолжая тему реестра и размещения приложений в нем, мы можем поправить команды, которые выполняются при обновлении тех или иных компонентов. В ветке

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\

Указаны GUID установленных компонентов и для многих из них можно найти параметры StubPath и Version. Далее процитируем официальную документацию Майкрософт:

При входе пользователя система сравнивает содержимое разделов HKLM\Software\Microsoft\Active Setup\Installed Components и HKCU\Software\Microsoft\Active Setup\Installed Components. Для каждого раздела в HKLM должна быть копия с тем же GUID в HKCU. Дальше есть три варианта развития событий:

1. Если копии нет, то выполняется команда, указанная в StubPath, после чего в HKCU создается раздел с тем же GUID и прочими параметрами.

2. Если копия есть, то сравнивается значение параметра Version. Если версия в HKCU младше, чем в HKLM, то задание отрабатывает повторно, после чего номер версии в HKCU обновляется.

3. Если же раздел с одинаковым GUID есть и в HKLM и в HKCU и номер версии у них совпадает, то значит компонент уже отработал для данного пользователя и запускать его не требуется.

Таким образом мы можем поиграться со значением StubPath и версиями для того, чтобы в итоге выполнить то, что нам нужно. По сути, здесь тоже можно реализовать автозагрузку.

Переселяем папки

Также с помощью реестра можно “перепрятать” разделы из меню Пуск. В ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

Размещаются пути к различным компонентам, включая меню Автозагрузка. Соответственно, здесь мы тоже можем поменять значения параметров для того, чтобы запускать файлы из другого каталога.

Планировщик задач

Помимо реестра мы можем попробовать прописать свое приложение в XML файлы с описанием задач. В каталоге %WINDIR%\System32\Tasks находятся XML файлы в которых прописано выполнение тех или иных действий и расписание, по которому эти действия выполняются.

Помимо прочего, в них можно найти и те команды, которые должны выполняться в рамках этой задачи.

Таким образом мы получаем еще один вектор для закрепления в системе.

Заключение

В этой статье мы рассмотрели основные методы размещения выполнимых файлов в системе для автозагрузки. Знание этих методов может помочь в выявлении подозрительных активностей злоумышленников в системе.

О других инструментах для обеспечения безопасности можно узнать у экспертов в области ИБ, например на онлайн-курсах. Перед стартом обучения проходят открытые уроки от преподавателей курсов, на которых можно узнать об актуальных технологиях и задать интересующие вопросы экспертам.

• reverse-engineering
• реестр windows
• ассемблер

• Блог компании OTUS
• Информационная безопасность
• Реверс-инжиниринг

Разделы реестра run и RunOnce

Используйте Run разделы реестра или RunOnce для запуска программы при входе пользователя в систему. Ключ Run запускает программу каждый раз, когда пользователь входит в систему, в то время как RunOnce ключ запускает программу один раз, а затем ключ удаляется. Эти ключи можно задать для пользователя или компьютера.

Значение данных для ключа — это командная строка длиной не более 260 символов. Регистрация программ для запуска путем добавления записейкомандной строкиописания— = формы. Под ключом можно написать несколько записей. Если под каким-либо определенным ключом зарегистрировано несколько программ, порядок выполнения этих программ не определен.

Реестр Windows содержит следующие четыре Run раздела и RunOnce :

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce выполняется только при входе членов группы «Администраторы» после перезагрузки. Дополнительные сведения см. в статьях Раздел реестра RunOnce, Разработка приложений, которые выполняются при входе в систему и Устранение неполадок с клиентом Windows.

По умолчанию значение RunOnce ключа удаляется перед выполнением командной строки. Имя значения можно префиксировать RunOnce восклицательным знаком (!), чтобы отложить удаление значения до выполнения команды. Без префикса восклицательного знака, если RunOnce операция завершится сбоем, связанной программе не будет предложено выполнить при следующем запуске компьютера.

По умолчанию эти ключи игнорируются при запуске компьютера в безопасном режиме. Имя значения ключей RunOnce может иметь префикс звездочки (*), чтобы программа запускалась даже в безопасном режиме.

Программа, запускаемая из любого из этих ключей, не должна выполнять запись в ключ во время его выполнения, так как это помешает выполнению других программ, зарегистрированных в ключе. Приложения должны использовать RunOnce ключ только для временных условий, например для завершения настройки приложения. Приложение не должно постоянно воссоздать записи в , RunOnce так как это помешает установке Windows.