Ребята всем хеллоушки. Сегодня мы с вами поговорим о такой штуке как RunOnce, которую вы видимо нашли в автозагрузке, верно? И мне что-то это не нравится.. А все дело в том, что RunOnce это название раздела реестра, откуда запускаются проги и вроде это только одноразовая автозагрузка.. Но не в этом суть. А в том что RunOnce — это название раздела реестра и почему у вас что-то сидит в автозагрузке с таким же названием? Может это попытка вас ввести в заблуждение? Типа чтобы вы поискали в интернете что такое RunOnce.. узнали что это раздел реестра и подумали — а, все нормально, эта штука безопасна.. моя первая мысль — что-то здесь нечисто…

Первое что я подумал — это вирус какой-то. Искал в интернете признаки того что это вирус и не нашел. Но я искал дальше и все таки нашел окно Конфигурация системы (msconfig) и тут я кое-что интересное обнаружил, а ну гляньте:

Ну просто нет слов. Сидит себе Runonce и запускается еще из системной папки:

C:\Windows\System32\

И что это такое runonce.exe? Поискал у себя (Win + E > поле в правом верхнем углу) и опачки, оказывается такой файл реально существует:

Для справки я вот ребята нашел инфу о том что такое в реестре RunOnce и RunOnceEx:

То есть что такое RunOnce в реестре мы теперь знаем.

А вот файл runonce.exe.. что он делает? Мне стало очень интересно. Начал переворачивать все в интернете чтобы найти инфу. На одном форуме чел спрашивает, опасен ли runonce.exe и ему отвечают что нет, в Windows 7 такая штука может быть.

На форуме Касперского чел пишет что у него при включении компа выскакивает окно с C:\Windows\System32\runonce.exe и выскакивает после выбора пользователя, и еще пишется такое:

The NTVDM CPU has encountered an illegal instruction

Чел также пишет что ноут может во время работы сам перезагружаться. Короче ребята, я думал вам тут напишу рецепт решения траблы, но увы, дело в том что там на форуме ему сказали что-то выполнить в AVZ, какой-то скрипт, но суть в том что ему это помогло! Вот ссылка на тему (это официальный форум Касперского):

https://forum.kaspersky.com/index.php?/topic/119810-излечено-при-загрузке-выскакивает-окно-cwindowssystem32runonceexe/

Какой вывод? В крайнем случае идите на форум этот и там по инструкции создайте тему и опишите траблу и вам скорее всего помогут

Значит ребята. Я посмотрел еще раз интернет, поискал инфу и не совсем все понятно — вирус это или нет. Должно ли быть так или нет, толком непонятно.

Ну и что делать, спросите вы? Мой план такой. Нужно создать точку восстановления и потом отключить Runonce из автозагрузки. Если будут траблы — есть точка восстановления. Если траблов не будет — в будущем Runonce можно будет удалить из автозагрузки полностью.

Значит создаем точку восстановление — зажимаем Win + R, вставляем в поле команду:

SystemPropertiesProtection

Нажали ОК, появится окно Свойства системы, выбрали системный диск и мышкой жмем по Создать (а если нужно будет восстановиться то кнопка выше так и называется):

Называть советую так чтобы было просто и понятно, я так и назову — До удаления Runonce:

Чуть ждемс:

Ну и все отличненько:

Все, точку мы создали, теперь можно смелее уже быть. По поводу автозагрузки, ее я анализирую при помощи AnVir Task Manager, это бесплатный инструмент для просмотра автозагрузки. Скачайте ее, реально она годная прога. У меня она уже установлена, вот я ее запустил и вот как она выглядит:

Тут вам нужно найти Runonce и нажать по нему правой кнопкой и выбрать в менюхе Отключить (я для примера выбрал amigo):

После этого из автозагрузки Runonce будет отключено и перемещено в раздел Карантин. Теперь необходимо сделать перезагрузку, после которой в принципе процесса runonce.exe в диспетчере быть не должно.

Я думал еще переименовать файл runonce.exe в папке System32, но вот подумал, он вроде идет как системный.. я пошел в папку System32, нашел файл этот и нажал по нему правой кнопкой, выбрал свойства и на вкладке Подробно в поле Описания файла вот что указано:

То есть это какая-то программа завершающей стадии установки.

Так, что теперь делать? Самое правильное — проверить комп антивирусными утилитами. Не ленитесь ребята, я серьезно! Всего нужно проверить тремя — это Dr.Web CureIt!, AdwCleaner, HitmanPro. Ребята, настоятельно советую вам проверить всеми этими утилитами. Dr.Web CureIt! скачать можно вот тут (официальный сайт):

https://free.drweb.ru/cureit/

Вот как выглядит утилита:

Вторую, то есть AdwCleaner можно скачать отсюдова (тоже офф сайт):

https://ru.malwarebytes.com/adwcleaner/

И как выглядит (ну у вас скорее всего будет на русском все):

Ну и HitmanPro, скачать можно тут (офф сайт):

https://www.hitmanpro.com/en-us/hmp.aspx

Внешний вид:

Всеми тремя утилитами пользоваться легко, если что — смотрите инструкции в интернете, их много. Даже если утилиты не найдут угрозы в Runonce, то такая проверка компа только на пользу, ибо могут быть найдены и другие вирусы всякие. Уж поверьте мне они у вас могут быть.

Забыл сказать! Когда в AnVir Task Manager отключите Runonce, то смотрите потом пару дней не будет ли проблем. Если не будет, то идете в раздел Карантин и оттуда уже удаляете Runonce.. стоп, стоп, стоп! А может не нужно удалять? Ведь оно все равно отключено.. в связи с тем что отключено и не мешает, я бы оставил, даже не знаю зачем.. Но я узнал кое-что важное! Оказывается что в AnVir Task Manager при удалении пункта из Карантина, то там еще можно удалить сразу файл! Ну вот я нажал правой кнопкой например по Microsoft-Windows-DiskDiagnosticResolver (что за дичь не знаю) и выбрал в Редактировать > Удалить запись:

И вот теперь смотрите, появилось окошко и тут можно поставить галочку — в итоге будет и файл удален, который запускается этой записью:

Даже есть опция автоматического удаления — то есть если появится, то AnVir Task Manager сразу удалит! Ну прога какая-то прям интеллектуальная, круто одним словом! Это я вам просто показал, удалять Runonce так не нужно, это просто пример. Но опция уж реально очень полезная.

Итак, написал я тут конечно многовато.. давайте подведем итоги кратко так бы сказать.

1. Значит что такое Runonce — непонятно. Может это и вирус, который маскируется под системную штуку Runonce.
2. Я не знал, но оказалось это правда, в винде действительно есть runonce.exe, то есть файл имеет название как раздел реестра. Этот файл есть и в Windows 7 и в Windows 10 (только что проверил).
3. Перед всеми действиями обязательно создаем точку восстановления, мало ли иди знай.
4. Для отключения Runonce из автозагрузки используем AnVir Task Manage.
5. Если есть подозрение что Runonce это вирус, то советую не игнорировать мой совет и таки проверить комп антивирусными утилитами.
6. Если Runonce это вирус, и его удалить вам сложно, то в таком случае стоит обратится на форумы по удалению вирусов — например форум SafeZone, Касперского, Доктора Веба.

На этом все друзья. Очень надеюсь что мои советы кому-то все таки реально помогли. Если что не так, то извините. Удачи вам и будьте счастливы!