Что такое runonce exe
Раздел реестра RunOnce
все версии Windows поддерживают раздел реестра RunOnce, который можно использовать для указания команд, которые система будет выполнять один раз, а затем удалить.
Для установки устройств разделы реестра RunOnce можно создать с помощью раздела Add-Registry-Sections, которые указываются с помощью директив аддрег INF. Каждый раздел Add-Registry- имеет следующий синтаксис:
reg-root, [subkey], [value-entry-name], [flags], [value]
Корневой раздел реестра (reg-root) и значения подраздела для раздела реестра RunOnce имеют следующий вид:
HKLM, «софтваре\микрософт\ Windows \куррентверсион\рунонце»
Параметр value в разделе RunOnce указывает выполняемую команду. Этот параметр представляет собой строку в кавычках, которая имеет следующий формат:
По умолчанию ключ RunOnce удаляется после выполнения указанной команды. Параметру значения ключа RunOnce можно присвоить значение восклицательного знака (!), чтобы отложить удаление ключа до тех пор, пока команда не будет выполнена успешно. Без префикса восклицательного знака, если указанная команда завершается ошибкой, раздел RunOnce по-прежнему удаляется и команда не будет выполняться при следующем запуске системы.
кроме того, по умолчанию ключи RunOnce игнорируются при запуске системы в режиме Сейф. параметр value для ключей RunOnce может иметь префикс звездочки (*) для принудительного выполнения команды даже в режиме Сейф.
При создании записи строки значений учитывайте следующие рекомендации.
Rundll32 может появляться с .exe расширением имени файла или без него.
Dllname — это полный путь к DLL-файлу или исполняемому образу. За исключением обязательной завершающей запятой, выражение не должно содержать запятые. Если расширение имени файла не указано, по умолчанию используется расширение .dll.
EntryPoint — это имя точки входа в библиотеке DLL, указанной параметром dllname.
Arguments — это необязательная подстрока, содержащая все аргументы, которые должны быть переданы в УКАЗАННУЮ библиотеку DLL.
При использовании разделов реестра RunOnce для установки устройств применяются следующие правила.
Эти разделы реестра должны использоваться только для установок программных устройств, перечисленных с помощью СВЕНУМ, перечислителя программного устройства.
Ключи RunOnce должны состоять только из вызовов Rundll32.exe. В противном случае WHQL не будет использовать цифровую подпись пакета драйверов.
Выполняемый код не должен запрашивать ввод данных пользователем.
Установки на стороне сервера выполняются в контексте системы. По этой причине необходимо убедиться, что код, который должен быть выполнен, не содержит уязвимостей безопасности и разрешения на доступ к нему не позволяют злонамеренно изменить код.
Что такое add_cur_runonce.exe? Это безопасно или вирус? Как удалить или исправить это
Что такое add_cur_runonce.exe?
add_cur_runonce.exe это исполняемый файл, который является частью Диск платформы разработки MSDN 11 разработанный Microsoft, Версия программного обеспечения для Windows: 1.0.0.0 обычно 97792 в байтах, но у вас может отличаться версия.
Add_cur_runonce.exe безопасный или это вирус или вредоносное ПО?
Первое, что поможет вам определить, является ли тот или иной файл законным процессом Windows или вирусом, это местоположение самого исполняемого файла. Например, для add_cur_runonce.exe его путь будет примерно таким: C: \ Program Files \ Microsoft \ MSDN Development Platform Disc 11 \ add_cur_runonce.exe
Если статус процесса «Проверенная подписывающая сторона» указан как «Невозможно проверить», вам следует взглянуть на процесс. Не все хорошие процессы Windows имеют метку проверенной подписи, но ни один из плохих.
Наиболее важные факты о add_cur_runonce.exe:
Если у вас возникли какие-либо трудности с этим исполняемым файлом, перед удалением add_cur_runonce.exe вы должны определить, заслуживает ли он доверия. Для этого найдите этот процесс в диспетчере задач.
Найти его местоположение и сравнить размер и т. Д. С приведенными выше фактами
Если вы подозреваете, что можете быть заражены вирусом, вы должны немедленно попытаться это исправить. Чтобы удалить вирус add_cur_runonce.exe, необходимо скачайте и установите приложение полной безопасности, как это, Обратите внимание, что не все инструменты могут обнаружить все типы вредоносных программ, поэтому вам может потребоваться попробовать несколько вариантов, прежде чем вы добьетесь успеха.
Могу ли я удалить или удалить add_cur_runonce.exe?
Не следует удалять безопасный исполняемый файл без уважительной причины, так как это может повлиять на производительность любых связанных программ, использующих этот файл. Не забывайте регулярно обновлять программное обеспечение и программы, чтобы избежать будущих проблем, вызванных поврежденными файлами. Что касается проблем с функциональностью программного обеспечения, проверяйте обновления драйверов и программного обеспечения чаще, чтобы избежать или вообще не возникало таких проблем.
Однако, если это не вирус, и вам нужно удалить add_cur_runonce.exe, вы можете удалить MSDN Development Platform Disc 11 со своего компьютера, используя его деинсталлятор. Если вы не можете найти его деинсталлятор, вам может понадобиться удалить MSDN Development Platform Disc 11, чтобы полностью удалить add_cur_runonce.exe. Вы можете использовать функцию «Установка и удаление программ» на панели управления Windows.
Распространенные сообщения об ошибках в add_cur_runonce.exe
Наиболее распространенные ошибки add_cur_runonce.exe, которые могут возникнуть:
Как исправить add_cur_runonce.exe
Если у вас возникла более серьезная проблема, постарайтесь запомнить последнее, что вы сделали, или последнее, что вы установили перед проблемой. Использовать resmon Команда для определения процессов, вызывающих вашу проблему. Даже в случае серьезных проблем вместо переустановки Windows вы должны попытаться восстановить вашу установку или, в случае Windows 8, выполнив команду DISM.exe / Online / Очистка-изображение / Восстановить здоровье, Это позволяет восстановить операционную систему без потери данных.
Чтобы помочь вам проанализировать процесс add_cur_runonce.exe на вашем компьютере, вам могут пригодиться следующие программы: Менеджер задач безопасности отображает все запущенные задачи Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записи автозапуска. Единый рейтинг риска безопасности указывает на вероятность того, что это шпионское ПО, вредоносное ПО или потенциальный троянский конь. Это антивирус обнаруживает и удаляет со своего жесткого диска шпионское и рекламное ПО, трояны, кейлоггеры, вредоносное ПО и трекеры.
Обновлен декабрь 2021:
Мы рекомендуем вам попробовать этот новый инструмент. Он исправляет множество компьютерных ошибок, а также защищает от таких вещей, как потеря файлов, вредоносное ПО, сбои оборудования и оптимизирует ваш компьютер для максимальной производительности. Это исправило наш компьютер быстрее, чем делать это вручную:
Загрузите или переустановите add_cur_runonce.exe
Вход в музей Мадам Тюссо не рекомендуется загружать файлы замены exe с любых сайтов загрузки, так как они могут сами содержать вирусы и т. д. Если вам нужно скачать или переустановить add_cur_runonce.exe, то мы рекомендуем переустановить основное приложение, связанное с ним Диск платформы разработки MSDN 11.
Что такое MSDN Development Platform Disc 11
Информация об операционной системе
Ошибки add cur runonce.exe могут появляться в любых из нижеперечисленных операционных систем Microsoft Windows:
Удаление RunOnce: Удалите RunOnce Навсегда
Что такое RunOnce
Скачать утилиту для удаления RunOnce
Удалить RunOnce вручную
Получить проффесиональную тех поддержку
Читать комментарии
Описание угрозы
Имя исполняемого файла:
RunOnce
CLICONFG.EXE
Malware
Win32 (Windows XP, Windows Vista, Windows Seven, Windows 8)
Метод заражения RunOnce
RunOnce копирует свои файл(ы) на ваш жёсткий диск. Типичное имя файла CLICONFG.EXE. Потом он создаёт ключ автозагрузки в реестре с именем RunOnce и значением CLICONFG.EXE. Вы также можете найти его в списке процессов с именем CLICONFG.EXE или RunOnce.
Если у вас есть дополнительные вопросы касательно RunOnce, пожалуйста, заполните эту форму и мы вскоре свяжемся с вами.
Скачать утилиту для удаления
Скачайте эту программу и удалите RunOnce and CLICONFG.EXE (закачка начнется автоматически):
* SpyHunter был разработан американской компанией EnigmaSoftware и способен удалить удалить RunOnce в автоматическом режиме. Программа тестировалась на Windows XP, Windows Vista, Windows 7 и Windows 8.
Функции
Удаляет все файлы, созданные RunOnce.
Удаляет все записи реестра, созданные RunOnce.
Программа способна защищать файлы и настройки от вредоносного кода.
Программа может исправить проблемы с браузером и защищает настройки браузера.
Антивирусная поддержка в режиме 24/7 входит в комплект поставки.
Скачайте утилиту для удаления RunOnce от российской компании Security Stronghold
Если вы не уверены какие файлы удалять, используйте нашу программу Утилиту для удаления RunOnce.. Утилита для удаления RunOnce найдет и полностью удалит RunOnce и все проблемы связанные с вирусом RunOnce. Быстрая, легкая в использовании утилита для удаления RunOnce защитит ваш компьютер от угрозы RunOnce которая вредит вашему компьютеру и нарушает вашу частную жизнь. Утилита для удаления RunOnce сканирует ваши жесткие диски и реестр и удаляет любое проявление RunOnce. Обычное антивирусное ПО бессильно против вредоносных таких программ, как RunOnce. Скачать эту упрощенное средство удаления специально разработанное для решения проблем с RunOnce и CLICONFG.EXE (закачка начнется автоматически):
Функции
Удаляет все файлы, созданные RunOnce.
Удаляет все записи реестра, созданные RunOnce.
Программа может исправить проблемы с браузером.
Иммунизирует систему.
Антивирусная поддержка в режиме 24/7 через систему GoToAssist входит в комплект поставки.
Наша служба поддержки готова решить вашу проблему с RunOnce и удалить RunOnce прямо сейчас!
Оставьте подробное описание вашей проблемы с RunOnce в разделе Техническая поддержка. Наша служба поддержки свяжется с вами и предоставит вам пошаговое решение проблемы с RunOnce. Пожалуйста, опишите вашу проблему как можно точнее. Это поможет нам предоставит вам наиболее эффективный метод удаления RunOnce.
Как удалить RunOnce вручную
Эта проблема может быть решена вручную, путём удаления ключей реестра и файлов связанных с RunOnce, удалением его из списка автозагрузки и де-регистрацией всех связанных DLL файлов. Кроме того, отсутствующие DLL файлы должны быть восстановлены из дистрибутива ОС если они были повреждены RunOnce.
Чтобы избавиться от RunOnce, вам необходимо:
1. Завершить следующие процессы и удалить соответствующие файлы:
Предупреждение: вам необходимо удалить только файлы, контольные суммы которых, находятся в списке вредоносных. В вашей системе могут быть нужные файлы с такими же именами. Мы рекомендуем использовать Утилиту для удаления RunOnce для безопасного решения проблемы.
2. Удалите следующие папки:
3. Удалите следующие ключи и\или значения ключей реестра:
Предупреждение: Если указаны значения ключей реестра, вы должны удалить только указанные значения и оставить сами ключи нетронутыми. Мы рекомендуем использовать Утилиту для удаления RunOnce для безопасного решения проблемы.
Как предотвратить заражение рекламным ПО? Мы рекомендуем использовать Adguard:
4. Сбросить настройки браузеров
RunOnce иногда может влиять на настройки вашего браузера, например подменять поиск и домашнюю страницу. Мы рекомендуем вам использовать бесплатную функцию «Сбросить настройки браузеров» в «Инструментах» в программе Spyhunter Remediation Tool для сброса настроек всех браузеров разом. Учтите, что перед этим вам надо удалить все файлы, папки и ключи реестра принадлежащие RunOnce. Для сброса настроек браузеров вручную используйте данную инструкцию:
Для Internet Explorer
Если вы используете Windows XP, кликните Пуск, и Открыть. Введите следующее в поле Открыть без кавычек и нажмите Enter: «inetcpl.cpl».
Если вы используете Windows 7 или Windows Vista, кликните Пуск. Введите следующее в поле Искать без кавычек и нажмите Enter: «inetcpl.cpl».
Выберите вкладку Дополнительно
Под Сброс параметров браузера Internet Explorer, кликните Сброс. И нажмите Сброс ещё раз в открывшемся окне.
Выберите галочку Удалить личные настройки для удаления истории, восстановления поиска и домашней страницы.
После того как Internet Explorer завершит сброс, кликните Закрыть в диалоговом окне.
Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.
Найдите папку установки Google Chrome по адресу: C:\Users\»имя пользователя»\AppData\Local\Google\Chrome\Application\User Data.
В папке User Data, найдите файл Default и переименуйте его в DefaultBackup.
Запустите Google Chrome и будет создан новый файл Default.
Настройки Google Chrome сброшены
Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.
Для Mozilla Firefox
В меню выберите Помощь > Информация для решения проблем.
Кликните кнопку Сбросить Firefox.
После того, как Firefox завершит, он покажет окно и создаст папку на рабочем столе. Нажмите Завершить.
Предупреждение: Так вы потеряте выши пароли! Рекомендуем использовать бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.
Автозагрузка в Windows 7
Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя практически везде уже установлено антивирусное ПО, иногда возникает необходимость вручную посмотреть, где же в реестре стартует то или иное вредоносное ПО.
Безмалый В.Ф.
MVP Consumer Security
Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя практически везде уже установлено антивирусное ПО, иногда возникает необходимость вручную посмотреть, где же в реестре стартует то или иное вредоносное ПО, причем даже не обязательно вредоносное. При поиске резидентного вредоносного ПО нас не могут не волновать следующие вопросы:
Именно этому и будет посвящена эта статья.
Существует много способов автозагрузки. Ниже приведены несколько вариантов. Надеюсь, что это сможет вам помочь в розыске и удалении вредоносного ПО из автозагрузки.
Способы автозагрузки
Реестр
В реестре Windows 7 автозагрузка представлена в нескольких ветвях:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ‐ программы, запускаемые при входе в систему.
Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе (рис.1).
Рисунок 1 Автозапуск для всех пользователей
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] ‐ программы, запускаемые только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] ‐ программы, которые запускаются при входе текущего пользователя в систему
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] ‐ программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
Например, чтобы автоматически запускать Блокнот при входе текущего пользователя, открываем Редактор реестра (regedit.exe), переходим в раздел
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] и добавляем следующий ключ:
«NOTEPAD.EXE»=»C:\WINDOWS\System32\notepad.exe»
Использование групповой политики для автозапуска
Откройте оснастку «Групповая политика» (gpedit.msc), перейдите на вкладку «Конфигурация компьютера ‐ Административные шаблоны ‐ Система». В правой части оснастки перейдите на пункт «Вход в систему». (рис.2).
Рисунок 2 Использование групповой политики для автозапуска (для всех пользователей)
Фактически в данном разделе локальной групповой политики можно указать дополнительную программу или документ, который будет выполняться при входе пользователя в систему.
Внимание! Данный пункт политики доступен в Конфигурации компьютера и Конфигурации пользователя. Если заданы оба пункта политики, то вначале будет запущена программа из Конфигурации компьютера, а затем уже пользователя.
При этом в системном реестре в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] создается подраздел \Explorer\Run с ключами добавленных программ.
Пример:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
«1»=»notepad.exe»
В итоге получаем запуск Блокнота (рис 3).
Рисунок 3 Запуск Блокнота с помощью локальной групповой политики
Аналогично задается автозапуск для текущих пользователей, в оснастке «Групповая политика» это путь «Конфигурация пользователя ‐ Административные шаблоны ‐ Система» (рис 2), а в реестре раздел [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
Внимание! При этом программы из этого списка не отображаются в списке программ доступных для отключения в msconfig.exe, а также определяются не всеми менеджерами автозагрузки.
Игнорировать списки автозагрузки программ выполняемых однажды
Если эту политику включить, то не будут запускаться программы, запускаемые из списка
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] Если эта политика
включена, в реестре создается следующий ключ:
Назначенные задания
Рисунок 4 Окно Планировщика заданий
Чтобы добавить новое задание, нужно из меню «Действия» выбрать пункт «Создать простую задачу» (рис.5).
Рисунок 5 Создание простой задачи в Планировщике задач
Запуск программ с помощью этого мастера возможен однократно, при входе в Windows, при включении компьютера, а также по расписанию.
Папка «Автозагрузка»
Папка, в которой хранятся ярлыки для программ запускаемых после входа пользователя в систему. Ярлыки в эту папку могут добавляться программами при их установке или пользователем самостоятельно. Существует две папки ‐ общая для всех пользователей и индивидуальная для текущего пользователя. По умолчанию эти папки находятся здесь:
.. \Users\All Users\Microsoft\Windows\Start Menu\Programs\Startup ‐ это папка, программы из которой будут запускаться для всех пользователей компьютера.
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup ‐ это папка, программы из которой будут запускаться для текущего пользователя.
Посмотреть какие программы у вас запускаются таким способом можно открыв меню «Пуск ‐ Все программы ‐ Автозагрузка». Если вы создадите в этой папке ярлык для какой-то программы, она будет запускаться автоматически после входа пользователя в систему.
Смена папки автозагрузки
Windows считывает данные о пути к папке «Автозагрузка» из реестра. Этот путь прописан в следующих разделах:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
«Common Startup»=«%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup»‐ для всех пользователей системы.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
«Startup»=«%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup»
‐ для текущего пользователя. Сменив путь к папке, мы получим автозагрузку всех программ из указанной папки.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
«Startup»=»c:\mystartup» ‐ система загрузит все программы, ярлыки которых находятся в папке c:\mystartup\, при этом папка «Автозагрузка» все так же будет отображаться в меню «Пуск», а если у пользователя в ней ничего не было, то он и не заметит подмены.
Подмена ярлыка для программы из списка автозагрузки
Допустим у вас установлен пакет Acrobat. Тогда в папке «Автозагрузка» у вас будет находиться ярлык «Adobe Reader Speed Launch» ‐ этот ярлык устанавливается туда по умолчанию. Но вовсе необязательно этот ярлык ссылается именно на соответствующее приложение ‐ вместо него может быть запущена любая другая программа, тем более что на функциональности Acrobat это не скажется.
Добавление программы к программе запускаемой из списка автозагрузки
Модификация предыдущего варианта ‐ одновременно с загрузкой какой-либо программы из списка автозагрузки у вас будет стартовать другая программа ‐ дело в том, что можно «склеить» два исполняемых файла в один и они будут запускаться одновременно. Существуют программы для такой «склейки». Или ярлык может ссылаться на командный файл, из которого и будут запускаться как оригинальная программа из списка, так и добавленные посторонние программы.
Посмотреть список автоматически загружаемых программ можно открыв программу «Сведения о системе» (откройте «Пуск ‐ Все программы ‐ Стандартные ‐ Служебные ‐ Сведения о системе» или наберите msinfo32.exe в командной строке) и перейдя в пункт «Программная среда ‐ Автоматически загружаемые программы». Программа «Свойства системы» отображает группы автозагрузки из реестра и папок «Автозагрузка» (рис.6).
Рисунок 6 Автоматически загружаемые программы
Другая программа, позволяющая посмотреть список программ автозагрузки ‐ «Настройка системы» (для запуска наберите msconfig.exe из командной строки). Эта программа кроме просмотра списка автозагрузки предоставляет возможность отключения всех пунктов автозагрузки (вкладка «Общие») или выборочных программ (вкладка «Автозагрузка»).
Заключение
Безусловно, сведения, приведенные в данной статье нельзя считать исчерпывающими, однако, надеюсь, они помогут вам в нелегком труде борьбы с вредоносным ПО.