runonce.exe est un programme de wrapper Microsoft Windows, qui permet aux installateurs d’exécuter automatiquement une fois après un redémarrage. Cela permet à l’installateur de vous offrir des options de configuration après l’installation est complétée par le redémarrage.
DFIR
Processus Parent : explorer.exe
Utilisateur / Compte : Local System
Nombre d’instance : plusieurs (un par utilisateur connecté)
Lancement : première instance lors de la connexion de l’utilisateur
Localisation
%SYSTEMROOT%\runonce.exe%SYSTEMROOT%\SysWOW64\runonce.exe
Remarques
-
Les exécutables situés dans les registres HKCU runonce sont lancés par explorer.exe alors que HKLM runonce sont lancés par runonce.exe.
-
runonce.exe exécute des commandes sous la clé de registre HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce, généralement au démarrage de l’ordinateur et lors de la connexion de l’utilisateur.
-
Si un programme est créé par explorer.exe ou créé par runonce.exe dans la première minute d’exécution d’explorer.exe, alors il est probable qu’il s’agisse d’un processus persistant.