我的电脑一下就出现十几个runonce.exe进程，正常吗

中毒了，
runonce.exe

“中文求职信”是国人编写的第一个重大恶意蠕虫，前不久还在疯狂作恶。最近又出现一个名为“中国黑客”（又名“中国和平”）的病毒，此病毒较前者更具“中国特色”，所以人们均怀疑这是又一个国产的新恶意蠕虫。

这个病毒以独创的“三线程”结构来传播并保护自己。

病毒运行后，会先将自己拷贝到windows＼system＼目录下，并取名为runouce．exe，然后开始搜索本地驱动器及网络驱动器，感染．exe、．scr和系统文件。对于windows＼sys tem＼目录，它也会先进行查找。接着在注册表项HKEY＿LOCAL＿MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run下添加：RunOuce：System＼RunOuce．exe，这样，每次启动系统，病毒即随之运行。

对于添加的注册表项，病毒还会创建一个注册表监视的线程，对之不断监视，如果被修改，将立即重新写入病毒项，以保证自己的控制权。

病毒还有一个外部线程保证自己不断地取得对系统的控制权，使得病毒的清除更加困难！

在Win9x系统下，病毒学习CIH病毒进入核心层，将自身的部分代码复制到另外一个正在运行的程序内部，通过创建内核线程的方式，远程启动监视线程运行，监视自己的进程是否存在，如果不存在则将系统目录下的runouce．exe再次加载。

在WinNT系统下，病毒是利用系统的FindWindows函数寻找一个可被注入线程的运行程序（一般会找到Ex plorer．exe程序），之后病毒将这个进程打开并分配了一块内存，将自己的监视线程代码复制到该进程中，并在远程启动监视线程，监视病毒的进程是否存在，如果不存在则将系统目录下的runouce．exe再次加载。

中国黑客(worm.runouce)病毒分析该病毒是一个蠕虫病毒。不会感染可执行文件。

病毒在被激活的过程中会把病毒体自身复制到 windows 的系统目录中。

在windows 9x 系统中复制自身到 windows\sys