000.exe

打開後，會出現一個用户帳户控制對話框（在Windows Vista及以後的系統），警告用户是否想執行該程序。

當病毒完全執行時，它會終止進程explorer.exe，還會試圖刪除WindowsApps文件夾內的內容，其中包含安裝的Windows通用應用程序(只在Windows 8和Windows 10)。然後會全屏播放一段視頻，並在後台循環視頻剪輯。視頻中有一條陰森可怕的道路，視頻的顏色會不斷變化。從橘色、綠色、黑色和白色，到強烈的黑色和白色。

在視頻播放期間，病毒將禁用任務管理器，將用户的Windows帳户用户名和全名全部改為“UR NEXT”，將默認的記事本圖標更改為自定義的.ico文件，並在完成第一個有效負載後重新啓動用户的電腦。

第二個有效負載發生在計算機重新啓動時。桌面壁紙被改成純黑色，桌面上充滿了“UR NEXT”記事本文件。默認的記事本圖標會變成一個帶有“UR”和“NEXT”的紅色方塊，而“UR”會疊在“NEXT”的上面。打開一個“UR NEXT”文件，用户會看到似乎無限行的“UR NEXT”。

系統運行過程中，會有一個包含“run away”消息的對話框，後面跟着一個“run away”按鈕。但是，每秒鐘就會出現一個帶有相同消息的新對話框。單擊run away按鈕會關閉對話框。

如果有寫字板文件，它的名稱被命名為“OPENME”(重複名稱)，以説服用户打開它。如果用户打開“OPENME”（重複名稱）寫字板文件，用户將看到文件中的文本:

YOU ARE THE NEXT,I CAN SEE YOU

NOW ITS TOO LATE

I GOT YOU.......YOU HAVE BEEN

WARNED

DONT LOOK BEHIND YOU

此外，該文件的信息是“a serial killer is behind you to stab you, that is why don't look behind you.（一個連環殺手在你背後捅你，這就是為什麼不要回頭看。）”

右鍵開始菜單，點擊“命令提示符（管理員）”（必須是管理員權限啓動，關閉UAC的可以直接啓動CMD）打開命令提示符之後，輸入： taskkill /f /im conhost.exe 回車；此時彈窗可以全部關閉。再打開命令提示符，輸入 ：taskkill /f /im runaway.exe 回車(這個步驟結束病毒主體) ^[4] 

打開命令提示符（管理員），並依次輸入以下命令

cd %USERPROFILE%\Desktop （進入當前用户桌面）

del UR*.txt （匹配所有UR開頭的txt文件，並刪除）

del OPENME*.rtf （匹配所有OPENME開頭的rtf文件，並刪除） ^[4] 

右擊桌面空白處，“個性化”-“背景”-“背景”，將“純色”修改為“壁紙”，並任選一張喜歡的壁紙。 ^[4] 

將以下內容保存為.reg格式的文件並打開，即可解鎖任務管理器：

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"=- ^[4] 

啓動任務管理器，點擊“詳細信息”，展開任務管理器。 切換到啓動選項卡，可以發現病毒的啓動項rniw.exe。右鍵rniw.exe，點擊“打開文件所在位置”。找到後刪除；WIN+R 在運行中輸入 %temp% 回車打開臨時文件夾，清理病毒殘留。 ^[4] 

啓動註冊表編輯器，定位到HKEY_CLASSES_ROOT\txtfile\DefaultIcon，將默認鍵值修改為“%SystemRoot%\system32\imageres.dll,-102”，關閉註冊表編輯器。 ^[4] 

右鍵開始菜單-控制面板-“程序-“更改賬户類型- 雙擊自己賬户 – 更改賬户名稱，改為喜歡的名稱。 ^[4]