Runouce.exe

在Windows 9x系統上該病毒利用了CIH病毒相同的手法切換到零環，使自己進到系統級。然後複製78個位元組到kernel32.dll的地址空間中。在Windows 98 與windows 95的系統中的偏移地址是 bff70400處。 然後通過CreateKernelThread函式建立一個核心執行緒。 該執行緒的入口地址就是bff70400。這個核心執行緒調用了WaitForSingleObject函式使自身進入等待狀態，來等待父進程的結束信號。如果父進程被結束，則該核心執行緒立即被喚醒。核心執行緒馬上調用了WinExec函式，來重新啟動病毒進程。

這樣，在防毒軟體殺掉記憶體中的病毒進程後。病毒馬上又被激活。這樣造成殺不掉記憶體中的病毒。

該病毒在windows 2000作業系統上以獨創的“三執行緒”結構來傳播並保護自己。

病毒運行後，會先將自己拷貝到windows\system\目錄下，並取名為runouce.exe，然後開始搜尋本地驅動器及網路驅動器，感染.exe、.scr和系統檔案。對於windows\system32\目錄，它也會先進行查找。接著在註冊表項HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加：RunOuce：System32\RunOuce．exe，這樣，每次啟動系統，病毒即隨之運行。

對於添加的註冊表項，病毒還會創建一個註冊表監視的執行緒，對之不斷監視，如果被修改，將立即重新寫入病毒項，以保證自己的控制權。

病毒還有一個外部執行緒保證自己不斷地取得對系統的控制權，使得病毒的清除更加困難！ 該病毒通過以上的方法來起到在記憶體中保護病毒進程的作用。

該病毒有極強的區域網路傳染功能。

病毒通過搜尋網上鄰居中的可寫資料夾，然後在每個可寫資料夾中都生成一個以計算機器名命名的eml檔案

。並且該eml檔案是有自啟動漏洞的eml檔案。

1、下載金山的專殺工具："中國黑客"專殺工具

（h t t p : / / w w w . d u b a . n e t / z h u a n s h a / 1 7 . s h t m l）.

2、開機按F8啟動到安全模式，把C:\WINDOWS\system32下的runouce.exe 刪除，運行專殺工具.

3、開始-運行，輸入regedit打開註冊表編輯器，在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中關於runouce.exe 的註冊表項全部刪除。並搜尋整個註冊表中的runouce.exe 查找並刪除。

4、搜尋整個硬碟中readme.eml、readme.html檔案，刪除。

5、XP記得關閉系統還原。