【20121013】USBClear v1.2.1 Beta-U盘记录清理工具 By X（可完整清理移动硬盘记录）

xmanweb

声明：本工具只为广大网友测试学习使用，由于使用本工具不当造成的各种损失责任均由使用者承担。


这两天根据临时需要，用批处理写了个U盘记录清理工具，目前已完全支持NT5.X和NT6.X操作系统。使用“管理员方式运行”即可兼容Vista和Win7系统。

更新手记：
昨日清理系统时发现，在上一版本修复了HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USBSTOR项下有子项含有“%、！”等特殊字符而导致无法删除的BUG后，再次出现无法删除的情况，经研究发现是删除递归的层数太少导致，现将这个BUG修复

====>>

因为本程序是清理优盘的，之前的图标刷子下面是个固定磁盘，现在被我硬生生的换为可移动磁盘了，更贴切U盘记录清理器的名称，呵呵

值得提一句的是，在win7系统下u盘记录除了会存在于注册表和setupapi日志文件中，还会出现在系统的日志中，这种日志的清理我还未找到通过命令行删除的办法，你可以通过右键点击“计算机”-->“属性”-->“管理”-->“事件查看器”-->“系统”，点击右边“清除日志”即可。当然，你也可以在PE下删除C:\Windows\System32\winevt\Logs目录下的*.evt文件

友情提示：根据Pauly猫大的讲解可知，本工具虽然能删除注册表内u盘相关记录，可以应对一般usb设备检查软件的检查，但是记录删除后，在config\SYSTEM这个HIV文件里用winhex查看还是可以见到删除过的记录的关键字的，为了防止有扇区扫描方式检查u盘记录软件（如RG涉密信息自查工具2012）的检查，本人推荐以下操作：

第一步，清理u盘记录。在正常系统下运行USBClear使用强制模式，清除所有相关记录。或者直接进入WINPE，使用RUNSCANNER.EXE  /t 0 /ac /cp /y USBClear.exe方式，运行起来USBClear清除相关记录。
第二步，压缩注册表HIV。这一步你需要进入WINPE或其他系统以使待清理系统注册表HIV离线。以WINPE为例，进入PE后，使用REGWORKSHOP工具（regedit也行），文件—>加载配置单元—>待清理系统盘：\Windows\system32\config\SYSTEM文件，加载为HKLM下的一个子项，右键点击该项，选择导出，然后再文件保存对话框中，保存类型选择“注册表配置单元文件”，然后找一个地方保存起来备用。最后，使用文件—>卸载配置单元来卸载SYSTEM。
第三步，覆盖原始HIV。这一步要使用ERASER软件。使用ERASER软件，擦除SYSTEM和相关的LOG文件。用刚才保存得到的HIV文件，修改文件名为SYSTEM，拷贝到Windows\system32\config\下即可。
第四步，清理其它可能存在位置。删除任何可能存在u盘记录的文件：
目前本人已知的可能存有u盘记录的文件位置如下：
C:\System Volume Information 文件夹
C:\Windows\repair 文件夹
C:\Windows\System32\config\RegBack 文件夹
C:\Windows\System32\winevt\Logs 文件夹下的所有*.evt文件
C:\Windows\inf\setupapi.dev.log.0.old 文件
C:\Windows\setupapi.log.0.old 文件
C:\PageFiles.sys 文件
C:\hiberfil.sys 文件
删除以上文件和文件夹。
强烈建议删除：
C:\Windows\TEMP、C:\Documents and Settings\[你的用户名]\Local Settings\Temp和C:\Users\[你的用户名]\AppData\Local\Temp等临时文件目录
全部删除完毕后，使用Ultimate defrag 2008等磁盘整理软件，对磁盘进行“固实整理”，最后使用ERASER对目标系统盘进行空余空间擦除操作即可完成所有记录的清除了。
第五步，善后。最后为了清除使用ERASER的痕迹，可以将FAT32转换为NTFS，NTFS则使用WINPM9等软件对MFT进行压缩操作即可。

相关加粗软件见网盘链接：http://pan.baidu.com/share/link?shareid=96951&uk=2349119407

这个U盘记录清理工具与网上其他类似的工具相比，具有以下特点：
1. 完整清理注册表内所有与U盘（包括普通U盘，移动硬盘，USB软驱，USB光驱）相关的各种记录
     这里的各种记录是我经过插拔优盘对注册表的跟踪得来的结果，包含以下种类型记录：
    + 所有的系统配置:HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX下的：
      - Deviceclasses设备驱动痕迹
      - USB大容量存储设备驱动与USBFlags痕迹
      - USBSTOR设备驱动痕迹
      - USB通用卷Volume驱动痕迹
      - RemovableMedia驱动痕迹
      - 移动硬盘Volume驱动痕迹
      - UMB设备驱动痕迹
      - USBSTOR服务痕迹   
   + 所有用户配置下的：
      - SetupAPI日志文件痕迹
      - 挂载点MountPoints痕迹
      - DREDGE记录痕迹
      - EMDMgmt驱动痕迹
      - Portable Devices驱动痕迹
如果以上这些项被删除，那么一个U盘插拔后所有对系统注册表的改动都将被删除。
2. 精准清理U盘相关记录，不影响其他USB设备
   本工具只搜索U盘相关的注册表项，并不删除其他usb设备的设备和驱动记录
3. 可强制清理可能与U盘相关的冗余驱动记录
   在某些情况下，如果一些U盘经过了手工卸载后，会遗留下一些冗余的驱动痕迹，本工具可智能判断未使用的usbstor，disk，volume，UMB驱动记录，并在强制清理模式下删除。从而确保注册表内不会有任何可能与U盘相关的记录。但是由于本人是个菜鸟，所以可能会有删除错误的风险。呵呵。。


本工具目前的缺点：

运行速度慢，因为使用命令行，调用大量的for循环和find指令，所以比较慢，请您耐心等待。
不能有选择删除，因为当初设计的目的就是完全清理干净任何相关的记录，所以。。。

希望以后可以改进。。

最后请大家多多帮我测试，一起完善这个工具。

更新历史：
2012-10-13：1.2.1 再次修正ControlSet002配置下“Enum\USBSTOR”项无法删除的BUG（递归层数过少导致）
2012-03-28：1.2.0 修正部分ControlSet002配置下“Enum\USBSTOR”项无法删除的BUG（源于1.0.7版的BUG修正不彻底所致）
2011-12-30：1.1.9 改进“USB大容量存储设备识别”方式，由识别“USBSTOR服务”改为识别“设备类USB\Class_08"
2011-09-18：1.1.8 修复Win7下SetupAPI日志未删除BUG，修复PE1.X无法清除win7离线系统u盘记录的BUG
2011-06-17：1.1.7 修改了程序图标，完善了界面和描述，并减小对%TEMP%文件夹空间占用，改善WINPE下兼容性
2011-04-26：1.1.6 完善usb光驱和软驱的冗余驱动记录清理功能（包含于USBSTOR相关设备驱动痕迹）
2011-04-22：1.1.5 尝试增强Win7下注册表项删除能力，解决某些机器出现的部分注册表项无法删除BUG，另增加DriveIcons记录清理。
2011-04-15：1.1.4 暂时屏蔽NextParentID记录删除功能，修复时间刷新BUG。
2011-04-12：1.1.3 修复了每次强制清理后，所有usb设备的建立时间都被刷新的BUG，同时改进USBFlags相关项的删除，并去除多个同型号U盘的重复项
2011-04-08：1.1.2 增加了NextParentID记录删除功能，并进一步精确了USBFlags的删除方式，只删除与U盘相关的USBFlags。
2011-04-03：1.1.1 为Win7系统增补了删除范围，修正了USBFlags的删除方式。
2011-03-28：1.1.0 修复在PE下使用RUNSCANER方式运行时获取本地硬盘签名错误BUG（严重）。
2011-03-28：1.0.9 修复清理{a5dcbf10-6530-11d2-901f-00c04fb951ed}项下无驱动记录项被误删BUG；为USB光驱增加{1186654d-47b8-48b9-beb9-7df113ae3c67}项下相关记录清除。
2011-03-27：1.0.8 修复某些U盘厂家字符串中含有“%，!”等特殊字符时无法删除全部记录的BUG。
2011-03-27：1.0.7 修复程序初始化段，获取本地硬盘签名部分可能出现的问题，并增加权限判断；同时增加清理冗余MountPoints功能；增加清理USB软驱记录功能。
2011-03-26：1.0.6 完善了移动硬盘记录清理，已实现完整清理。同时修复DeviceClasses\{a5dcbf10-6530-11d2-901f-00c04fb951ed}项下相关注册表项未能删除的BUG。
2010-12-26：1.0.5 更新了内置的setacl工具至2.1.3版，从而使本工具完全支持NT6.X操作系统（需管理员方式运行），并为Win7系统增补了搜索删除的范围。
2010-12-24：1.0.4 修复在win7下，在记事本中另存为文本文件或注册表文件时，会出现用户文件夹不可用的bug
2010-12-23：1.0.3 去除导出注册表项中的重复项；并少用find命令，优化了速度；同时支持删除大部分VISTA和win7的注册表项。
2010-12-21：1.0.2 为工具增加备份U盘相关注册表功能，同时去除用处不大的导出注册表清理文件功能。
2010-12-20：1.0.1 修复部分机器出现的鼠标点击操作无效的BUG
2010-12-19：发布1.0.0版


界面：


下载地址：

[ 本帖最后由 xmanweb 于 2012-11-1 23:22 编辑 ]

zqywult

不会把系统自带的USB驱动也清理掉吧？
不太敢用！

xmanweb

他清理的只是注册表中的驱动安装记录，不会删除驱动本身，只是让它看起来从来没有装过。

zqywult

我刚才试用了LZ的这个东东，还真不错！
我先用第三项导出一份，再用第二项清理，再用第一项查看，确实清理干净了，只是运行有些慢。我的USB鼠标未受影响，并且又插上U盘，系统重新安装新硬件....，U盘使用正常！

谢谢LZ的软件！我一直用USBDeview.exe（图形界面）清理USB设备，您这个比它清理的更干净！

一个问题：只清理U盘记录，USB移动硬盘的清理不？？

一个建议：我导出的reg文件都是 -HKEY_LOCAL_MACHINE\SYSTEM\..........开头的，这应该是卸载注册表项的吧？建议LZ修改一下，使每个注册表项前面的负号“--”去掉，这样导出的reg文件就是备份文件，万一有什么问题，双击即可恢复注册表！！

[ 本帖最后由 zqywult 于 2010-12-20 16:19 编辑 ]

xmanweb

@zqywult:非常感谢你的试用和反馈，关于问题一：这个工具清理的确切说是usb大容量存储设备的记录，usb移动硬盘也是，所以可以清理，此外类似的usb光驱记录也能清除。问题二：感谢你的建议，我刚才已经按照你说的功能实现了备份注册表的导出，因为今天没法电脑上网，新版本只有明天发了

bgwhw

不错的小东东，顶一下！

xmanweb

难道没有人用吗？我需要反馈啊。。。

kevin95

做成工具就好了.期待LZ改进

xmanweb

呵呵，现在没有经历去搞编程啊，这只是个批处理写的工具，性能的确不好，速度慢，但功能应该还是能满足需求的，以后有时间琢磨编程了会考虑做一个的。

xmanweb

采用了最新版的setacl工具就能支持Win7的注册表删除了！

2.1.3版： SetACL 2.1.3.zip (801.85 KB, 下载次数: 4147)

2010-12-26 21:37 上传

点击文件名下载附件
下载积分: 无忧币 -2

2010anweinuo

看起来不错，试试

sratlf

支持一下  很不错的工具

xmanweb

呵呵，竟然得到版主大大的肯定，开心！！

黑暗深处

这个东西必须要支持，win7下能支持就很好了
不知道为什么运行速度这么慢？要是有可视化的操作界面，加上可选择的清理就会更加完美

smdky

以前数码之家出过一个护U使者，也是不错的

2011simone

这个东东的确不错，只是速度有点慢，但也可以！质量是第一位的。网上有类似的如：“UsbViewer_Ver3.3.rar”；“MyUSBHelper_Ver1.28.rar”，我没有要比谁优谁劣的意思，只是想知道谁清理的最彻底最安全！

xmanweb

这个工具是我自己写的，主要是因为年底保*密*检*查之类的事情，某些计算机上不能出现u盘使用痕迹，因此我就写了一个批处理来干这件事情了。因为是批处理，运行时要反复调用好多命令行工具，速度自然比正常的软件程序要慢。我以后有精力研究编程了就会考虑做一个编译版的。呵呵

xmanweb

恩，看起来不错，回去跟踪测试下。

xmanweb

我这个工具清理u盘记录应该是比较完整的，因为清理的项目是根据实际的跟踪测得的，清理后u盘插拔对系统注册表的所有变动项和新建项都会被删除。基本上可以确保是最干净的。但是目前这个工具在清理移动硬盘的记录时，还是没法清楚其掉mountpoints痕迹，u盘则不存在这个问题，这个问题我近期会考虑解决。

bgwhw

支持更新，很实用的小工具！

blithewind

好用,移动硬盘记录能清理掉就更好了

2011wekmo

很好用，但在单位局域网里没有权限呀……

xmanweb

呵呵，这个嘛，你可以配合pe启动，使用runscanner这款软件，离线加载本地系统的注册表hive，然后再清理，结果是一样的
例如在我的pe里，就可以在WinPE.ini中添加这样的语句来调用，就可以在pe下清理硬盘系统的u盘记录了

1. 
   
2. LINK %Programs%\★清理工具★\U盘记录清理,%ExDir%\WinPE_TOOLS\RunScanner\RUNSCANNER.EXE,/t 0 /ac /cp /y %MyADrv%\清理工具\U盘记录清理\USBClear.exe,%MyADrv%\清理工具\U盘记录清理\USBClear.exe
   
3. REGI HKCU\Console\QuickEdit=#0
   

复制代码

其实就是第一句其实就是添加 “RUNSCANNER.EXE  /t 0 /ac /cp /y USBClear.exe” 的快捷方式

不过因为pe下虚拟注册表后，QuickEdit键值会有问题，所以需要手动修改下，要不然没法鼠标点击菜单了。

2011simone

非常期待楼主抽点时间来完善这个版本！

xmanweb

原帖由 smdky 于 2011-2-21 11:36 发表
以前数码之家出过一个护U使者，也是不错的

前天测试了下，这个护U使者清楚u盘记录清理的只有'USB大容量存储设备“usbstor”驱动痕迹'，其余的都没有清理，对于严格的u盘记录测试，这种清理显然是不够的。

xmanweb

原帖由 blithewind 于 2011-2-23 01:44 发表
好用,移动硬盘记录能清理掉就更好了

移动硬盘的记录时可以清理的，只是移动硬盘唯独有一项“MountPoints记录”无法清理，这两天通过测试，发现是因为移动硬盘的盘符是”fixed"（固定磁盘）类型，所以在加载点MountPoints里他的记录特征显示的就不是“可移动磁盘盘符”的特征，而是和普通内置硬盘一致，所以没法清理。
而且即使被检查工具查出系统曾经加载过这些未知盘符，那么谁也无法分辨这些盘符是移动硬盘的还是曾经装在机箱内部的硬盘的。
所以从逻辑上讲，这个u盘记录清理工具功能是完善的。

123help

由于U盘口用过许多不同u盘，有个插口已不能再即插即认。经清理后，此插口的即插即认功能又恢复了。

junyu

正需要这个东西，谢楼主。

2010msmki

呵呵，好东西啊，下载分享

xmanweb

已经支持完整清楚移动硬盘记录了，大家帮忙测试啊！！