【已解决】如何在pe下关闭自动播放功能

HB天意 · 发表于 2009-2-9 09:58:33

原来我用的PE是没有自动播放功能的。
后来换了新的shell32.dll。
一进PE，运行就会自动播放。这样有病毒的话，pe马上感染病毒了。
我现在想把自动播放功能禁掉。请问如何操作？
最好是修改shell32.dll文件。

看小马和HHH333等大侠的回帖。

[ 本帖最后由 yidawpf 于 2009-2-24 08:05 编辑 ]

HB天意 · 发表于 2009-2-9 20:09:37

这个问题这几天测试了无数次都没有搞定，那位高手指点下！

HB天意 · 发表于 2009-2-9 20:10:38

就是这个。

CWD · 发表于 2009-2-9 22:12:54

你没上Q吗？还是没收到信息。。。

shell32.dll里的REGINST项中剔了这两句试试：
HKLM,"%PATH_EXPLORER%\WMPInfo","verb",,"WMPBurnAsAudioCD"
HKLM,"%PATH_EXPLORER%\WMPInfo","CLSID",,"{8dd448e6-c188-4aed-af92-44956194eb1f}"

HB天意 · 发表于 2009-2-10 07:16:58

原帖由 CWD 于 2009-2-9 22:12 发表
你没上Q吗？还是没收到信息。。。

shell32.dll里的REGINST项中剔了这两句试试：
HKLM,"%PATH_EXPLORER%\WMPInfo","verb",,"WMPBurnAsAudioCD"
HKLM,"%PATH_EXPLORER%\WMPInfo","CLSID",,"{8dd448e6-c188-4 ...

哦，是删掉啊？我还以为是加上。再试试。谢谢！

HB天意 · 发表于 2009-2-10 12:15:52

删了那两句还是没有用！

tegl · 发表于 2009-2-10 12:38:49

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000FF

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000FF

HB天意 · 发表于 2009-2-10 12:44:33

原帖由 tegl 于 2009-2-10 12:38 发表
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000FF

[HKEY_CURRENT_USER\Software\Micros ...

把这个保成为reg文件后测试了还是不行。
等会我加到shell32.dll试试看行不。

CWD · 发表于 2009-2-10 14:19:28

如果你确认没有做其它相关动作了的话，那么对比你老版本的shell32.dll 文件后只有下面这些改动：

减
HKLM,"%PATH_EXPLORER%\WMPInfo","verb",,"WMPBurnAsAudioCD"
HKLM,"%PATH_EXPLORER%\WMPInfo","CLSID",,"{8dd448e6-c188-4aed-af92-44956194eb1f}"
HKLM,"%PATH_EXPLORER%\WMPInfo\FileExts","MP3",,
HKLM,"%PATH_EXPLORER%\WMPInfo\FileExts","WAV",,
HKLM,"%PATH_EXPLORER%\WMPInfo\FileExts","WMA",,

加
HKLM,"%PATH_AUTOPLAY%\EventHandlers\PlayHDDVDOnArrival","MSOpenFolder",,""

[ 本帖最后由 CWD 于 2009-2-10 14:48 编辑 ]

HB天意 · 发表于 2009-2-10 17:53:15

都没有用。
如果你的可行的话，吧你新的shell32.dll给我看看。

yichya · 发表于 2009-2-10 17:54:40

要不LZ参照网上的REG文件改改DEFAULT文件？

vcxzaq1 · 发表于 2009-2-15 19:19:44

删除
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

有空的朋友，就写个.reg然后上传到附件给大家吧

vcxzaq1 · 发表于 2009-2-15 20:22:25

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
在PE中如何对针对该键值的访问权限进行限制呢

vcxzaq1 · 发表于 2009-2-15 22:32:56

pe下关闭自动播放功能很关键呀，谁能把它攻克下来呢！！？？

沙漠之子 · 发表于 2009-2-15 23:10:33

禁用Shell Hardware Detection服务

HB天意 · 发表于 2009-2-16 11:07:40

原帖由 沙漠之子 于 2009-2-15 23:10 发表
禁用Shell Hardware Detection服务

如何禁用？

a201 · 发表于 2009-2-20 17:17:49

移动介质病毒免疫补丁深山红叶制作

原理：将系统外壳（Shell32.dll）中有关自动播放的 Unicode 字符串进行随机修改，从而让系统检测到根目录下带有 Autorun.inf 文件的介质时，无法有效激活文件中定义的病毒，从而起到预防所有通过Autorun功能传播和激活的病毒的目的。

希望能尽快看到你改好的Ｖ８

lsj0416 · 发表于 2009-2-20 21:09:19

原帖由 a201 于 2009-2-20 17:17 发表
移动介质病毒免疫补丁深山红叶制作

原理：将系统外壳（Shell32.dll）中有关自动播放的 Unicode 字符串进行随机修改，从而让系统检测到根目录下带有 Autorun.inf 文件的介质时，无法有效激活文件中定义的病毒 ...

不知道适用于那个版本的shell32.dll？

HB天意 · 发表于 2009-2-20 21:39:54

原帖由 vcxzaq1 于 2009-2-15 19:19 发表
删除
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

有空的朋友，就写个 ...

我把他加到批处理，在pe启动的时候执行。但是不稳定。时有播放菜单，时无。

HB天意 · 发表于 2009-2-20 21:40:54

原帖由 a201 于 2009-2-20 17:17 发表
移动介质病毒免疫补丁深山红叶制作

原理：将系统外壳（Shell32.dll）中有关自动播放的 Unicode 字符串进行随机修改，从而让系统检测到根目录下带有 Autorun.inf 文件的介质时，无法有效激活文件中定义的病毒 ...

怎么改shell32。dll文件？

CWD · 发表于 2009-2-20 22:15:27

┣━━━┿━━┿━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┫
┃       │格式│SERV [!]<服务名称>                                                                                                             ┃
┃       ├──┼──────────────────────────────────────────────┨
┃       │功能│启动或停止服务或驱动程序。                                                                                                 ┃
┃       ├──┼──────────────────────────────────────────────┨
┃'SERV'│参数│■指定服务名称。前导"!"表示停止服务，否则启动服务。                                                             ┃
┃       ├──┼──────────────────────────────────────────────┨
┃       │示例│SERV FBWF                                                                                                                         ┃
┃       ├──┼──────────────────────────────────────────────┨
┃       │备注│※此命令来启动FBWF服务(如果安装了的话)，以增加系统盘的可写空间，这样PE就能在光盘上运行了。 ┃
┣━━━┿━━┿━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┫

。。。

HB天意 · 发表于 2009-2-20 22:24:34

原帖由 CWD 于 2009-2-20 22:15 发表
┣━━━┿━━┿━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┫
┃ │格式│SERV [!] ...

哪个服务好像再pe下没有看到。

vcxzaq1 · 发表于 2009-2-20 22:35:41

原帖由 yidawpf 于 2009-2-20 21:39 发表
删除
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

我把他加到批处理，在pe启动的时候执行。但是不稳定。时有播放菜单，时无。

要对该键值的访问权限进行限制，这个有难度，但是只要能实现，肯定成功

vcxzaq1 · 发表于 2009-2-20 22:37:12

原帖由 yidawpf 于 2009-2-20 22:24 发表

哪个服务好像再pe下没有看到。

即使有，禁用后效果也不好

a201 · 发表于 2009-2-20 23:21:26

用任意一款16进制编辑器，如 UltraEdit 等，打开 Shell32.dll，搜索其中的 Autorun.inf 的 Unicode 字符串（注意不是搜索 ASCII 字串），然后改得越古怪越好

lsj0416 · 发表于 2009-2-21 08:29:37

原帖由 a201 于 2009-2-20 23:21 发表
用任意一款16进制编辑器，如 UltraEdit 等，打开 Shell32.dll，搜索其中的 Autorun.inf 的 Unicode 字符串（注意不是搜索 ASCII 字串），然后改得越古怪越好

使用UltraEdit，Unicode方式在哪选？

HB天意 · 发表于 2009-2-22 13:57:36

这个问题还是没有彻底解决。不管试了多少办法。

HB天意 · 发表于 2009-2-22 16:53:32

用了个绝招，把自动播放删掉了。好像是解决了。

不知道对系统有没有影响。

HB天意 · 发表于 2009-2-22 18:03:39

修改过的shell32.dll文件：
http://www.brsbox.com/filebox/down/fc/07d447773fda3548a44d753624171b38

经测试是解决了自动播放问题。但不知道是否有负作用。
顺便改了下盘符图标。

有网友反馈，单纯按这种办法不行。
如果按照我的方法修改无效，那么参考楼下的办法。

[ 本帖最后由 yidawpf 于 2009-2-23 20:55 编辑 ]

a201 · 发表于 2009-2-22 19:50:04

用深山红叶制作的移动介质病毒免疫补丁改的！
没试用过
副作用：一些光盘的正常的自动运行功能也可能受到影响，但并不影响我们直接执行其中的程序
http://www.brsbox.com/filebox/do ... df00c2fb7a830e7d5a8

		自动登录	找回密码
密码			注册

【已解决】如何在pe下关闭自动播放功能

pe下关闭自动播放功能很关键呀，谁能把它攻克下来呢 ！！？？

回复 #20 yidawpf 的帖子

pe下关闭自动播放功能很关键呀，谁能把它攻克下来呢！！？？