【20121013】USBClear v1.2.1 Beta-U盘记录清理工具 By X（可完整清理移动硬盘记录）

xmanweb

声明：本工具只为广大网友测试学习使用，由于使用本工具不当造成的各种损失责任均由使用者承担。


这两天根据临时需要，用批处理写了个U盘记录清理工具，目前已完全支持NT5.X和NT6.X操作系统。使用“管理员方式运行”即可兼容Vista和Win7系统。

更新手记：
昨日清理系统时发现，在上一版本修复了HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USBSTOR项下有子项含有“%、！”等特殊字符而导致无法删除的BUG后，再次出现无法删除的情况，经研究发现是删除递归的层数太少导致，现将这个BUG修复

====>>

因为本程序是清理优盘的，之前的图标刷子下面是个固定磁盘，现在被我硬生生的换为可移动磁盘了，更贴切U盘记录清理器的名称，呵呵

值得提一句的是，在win7系统下u盘记录除了会存在于注册表和setupapi日志文件中，还会出现在系统的日志中，这种日志的清理我还未找到通过命令行删除的办法，你可以通过右键点击“计算机”-->“属性”-->“管理”-->“事件查看器”-->“系统”，点击右边“清除日志”即可。当然，你也可以在PE下删除C:\Windows\System32\winevt\Logs目录下的*.evt文件

友情提示：根据Pauly猫大的讲解可知，本工具虽然能删除注册表内u盘相关记录，可以应对一般usb设备检查软件的检查，但是记录删除后，在config\SYSTEM这个HIV文件里用winhex查看还是可以见到删除过的记录的关键字的，为了防止有扇区扫描方式检查u盘记录软件（如RG涉密信息自查工具2012）的检查，本人推荐以下操作：

第一步，清理u盘记录。在正常系统下运行USBClear使用强制模式，清除所有相关记录。或者直接进入WINPE，使用RUNSCANNER.EXE  /t 0 /ac /cp /y USBClear.exe方式，运行起来USBClear清除相关记录。
第二步，压缩注册表HIV。这一步你需要进入WINPE或其他系统以使待清理系统注册表HIV离线。以WINPE为例，进入PE后，使用REGWORKSHOP工具（regedit也行），文件—>加载配置单元—>待清理系统盘：\Windows\system32\config\SYSTEM文件，加载为HKLM下的一个子项，右键点击该项，选择导出，然后再文件保存对话框中，保存类型选择“注册表配置单元文件”，然后找一个地方保存起来备用。最后，使用文件—>卸载配置单元来卸载SYSTEM。
第三步，覆盖原始HIV。这一步要使用ERASER软件。使用ERASER软件，擦除SYSTEM和相关的LOG文件。用刚才保存得到的HIV文件，修改文件名为SYSTEM，拷贝到Windows\system32\config\下即可。
第四步，清理其它可能存在位置。删除任何可能存在u盘记录的文件：
目前本人已知的可能存有u盘记录的文件位置如下：
C:\System Volume Information 文件夹
C:\Windows\repair 文件夹
C:\Windows\System32\config\RegBack 文件夹
C:\Windows\System32\winevt\Logs 文件夹下的所有*.evt文件
C:\Windows\inf\setupapi.dev.log.0.old 文件
C:\Windows\setupapi.log.0.old 文件
C:\PageFiles.sys 文件
C:\hiberfil.sys 文件
删除以上文件和文件夹。
强烈建议删除：
C:\Windows\TEMP、C:\Documents and Settings\[你的用户名]\Local Settings\Temp和C:\Users\[你的用户名]\AppData\Local\Temp等临时文件目录
全部删除完毕后，使用Ultimate defrag 2008等磁盘整理软件，对磁盘进行“固实整理”，最后使用ERASER对目标系统盘进行空余空间擦除操作即可完成所有记录的清除了。
第五步，善后。最后为了清除使用ERASER的痕迹，可以将FAT32转换为NTFS，NTFS则使用WINPM9等软件对MFT进行压缩操作即可。

相关加粗软件见网盘链接：http://pan.baidu.com/share/link?shareid=96951&uk=2349119407

这个U盘记录清理工具与网上其他类似的工具相比，具有以下特点：
1. 完整清理注册表内所有与U盘（包括普通U盘，移动硬盘，USB软驱，USB光驱）相关的各种记录
     这里的各种记录是我经过插拔优盘对注册表的跟踪得来的结果，包含以下种类型记录：
    + 所有的系统配置:HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX下的：
      - Deviceclasses设备驱动痕迹
      - USB大容量存储设备驱动与USBFlags痕迹
      - USBSTOR设备驱动痕迹
      - USB通用卷Volume驱动痕迹
      - RemovableMedia驱动痕迹
      - 移动硬盘Volume驱动痕迹
      - UMB设备驱动痕迹
      - USBSTOR服务痕迹   
   + 所有用户配置下的：
      - SetupAPI日志文件痕迹
      - 挂载点MountPoints痕迹
      - DREDGE记录痕迹
      - EMDMgmt驱动痕迹
      - Portable Devices驱动痕迹
如果以上这些项被删除，那么一个U盘插拔后所有对系统注册表的改动都将被删除。
2. 精准清理U盘相关记录，不影响其他USB设备
   本工具只搜索U盘相关的注册表项，并不删除其他usb设备的设备和驱动记录
3. 可强制清理可能与U盘相关的冗余驱动记录
   在某些情况下，如果一些U盘经过了手工卸载后，会遗留下一些冗余的驱动痕迹，本工具可智能判断未使用的usbstor，disk，volume，UMB驱动记录，并在强制清理模式下删除。从而确保注册表内不会有任何可能与U盘相关的记录。但是由于本人是个菜鸟，所以可能会有删除错误的风险。呵呵。。


本工具目前的缺点：

运行速度慢，因为使用命令行，调用大量的for循环和find指令，所以比较慢，请您耐心等待。
不能有选择删除，因为当初设计的目的就是完全清理干净任何相关的记录，所以。。。

希望以后可以改进。。

最后请大家多多帮我测试，一起完善这个工具。

更新历史：
2012-10-13：1.2.1 再次修正ControlSet002配置下“Enum\USBSTOR”项无法删除的BUG（递归层数过少导致）
2012-03-28：1.2.0 修正部分ControlSet002配置下“Enum\USBSTOR”项无法删除的BUG（源于1.0.7版的BUG修正不彻底所致）
2011-12-30：1.1.9 改进“USB大容量存储设备识别”方式，由识别“USBSTOR服务”改为识别“设备类USB\Class_08"
2011-09-18：1.1.8 修复Win7下SetupAPI日志未删除BUG，修复PE1.X无法清除win7离线系统u盘记录的BUG
2011-06-17：1.1.7 修改了程序图标，完善了界面和描述，并减小对%TEMP%文件夹空间占用，改善WINPE下兼容性
2011-04-26：1.1.6 完善usb光驱和软驱的冗余驱动记录清理功能（包含于USBSTOR相关设备驱动痕迹）
2011-04-22：1.1.5 尝试增强Win7下注册表项删除能力，解决某些机器出现的部分注册表项无法删除BUG，另增加DriveIcons记录清理。
2011-04-15：1.1.4 暂时屏蔽NextParentID记录删除功能，修复时间刷新BUG。
2011-04-12：1.1.3 修复了每次强制清理后，所有usb设备的建立时间都被刷新的BUG，同时改进USBFlags相关项的删除，并去除多个同型号U盘的重复项
2011-04-08：1.1.2 增加了NextParentID记录删除功能，并进一步精确了USBFlags的删除方式，只删除与U盘相关的USBFlags。
2011-04-03：1.1.1 为Win7系统增补了删除范围，修正了USBFlags的删除方式。
2011-03-28：1.1.0 修复在PE下使用RUNSCANER方式运行时获取本地硬盘签名错误BUG（严重）。
2011-03-28：1.0.9 修复清理{a5dcbf10-6530-11d2-901f-00c04fb951ed}项下无驱动记录项被误删BUG；为USB光驱增加{1186654d-47b8-48b9-beb9-7df113ae3c67}项下相关记录清除。
2011-03-27：1.0.8 修复某些U盘厂家字符串中含有“%，!”等特殊字符时无法删除全部记录的BUG。
2011-03-27：1.0.7 修复程序初始化段，获取本地硬盘签名部分可能出现的问题，并增加权限判断；同时增加清理冗余MountPoints功能；增加清理USB软驱记录功能。
2011-03-26：1.0.6 完善了移动硬盘记录清理，已实现完整清理。同时修复DeviceClasses\{a5dcbf10-6530-11d2-901f-00c04fb951ed}项下相关注册表项未能删除的BUG。
2010-12-26：1.0.5 更新了内置的setacl工具至2.1.3版，从而使本工具完全支持NT6.X操作系统（需管理员方式运行），并为Win7系统增补了搜索删除的范围。
2010-12-24：1.0.4 修复在win7下，在记事本中另存为文本文件或注册表文件时，会出现用户文件夹不可用的bug
2010-12-23：1.0.3 去除导出注册表项中的重复项；并少用find命令，优化了速度；同时支持删除大部分VISTA和win7的注册表项。
2010-12-21：1.0.2 为工具增加备份U盘相关注册表功能，同时去除用处不大的导出注册表清理文件功能。
2010-12-20：1.0.1 修复部分机器出现的鼠标点击操作无效的BUG
2010-12-19：发布1.0.0版


界面：


下载地址：

[ 本帖最后由 xmanweb 于 2012-11-1 23:22 编辑 ]

nchair

整好需要

use007

求好用的工具

guocctv

支持楼主好东西，测试以下。

salupao

删除动硬盘记录试一下

zhoucd

撒旦飞洒范德萨发撒法撒旦范德萨发撒

zhoucd

1111111111111

myszd

谢谢楼主提供的工具。

cngsrt

下载不了哇...  

pcxt

抱歉，您没有权限下载本附件

hwh132

回复 1# xmanweb


     谢谢分享！

快雪时晴

有继续改进吗       那个软件证书到期无法使用

xmanweb

17635个512KB≈8809M

2012wszq1233

原帖由 xmanweb 于 2012-11-14 23:24 发表
这个可能跟检查软件的设计有关了，估计人家是以512K为单元检测的

还是没有明白，以512K为单元检测也应该不会乘以2呀，还请楼主细说一下。。。

xmanweb

这个可能跟检查软件的设计有关了，估计人家是以512K为单元检测的

2012wszq1233

原帖由 xmanweb 于 2012-11-13 20:35 发表
谢谢反馈，话说回来你都是怎么找到这些软件的啊

找到还真费了一些周折呀。。。。但都离不开百度呀。。。。相信一般人还是找不到的。。。
希望楼主能改进一些，超过那个“测试版”。呵呵。。。。祝楼主成功。。同时期待楼主的更新版！！！

另上一次你提供的找文件的方法过程中，开始说的一句话里有点不明白的是："8809*2≈17635"其中为何要乘以2呀？难道是为了得到磁盘多少位吗？？

xmanweb

谢谢反馈，话说回来你都是怎么找到这些软件的啊

2012wszq

原帖由 xmanweb 于 2012-11-8 21:31 发表
8809*2≈17635，所以，2023~2025就≈1000M~1050M的位置，然后你需要查看UDefrag2008的磁盘图，找到C盘的环形图，鼠标点击磁盘图，用键盘上下左右键来定位到最内圈的最后一个色块，查看它的簇号，比如2254104~22 ...

经查找，文件倒是发现不少，就是没有找到像楼主说的“日志log文件”和“system这个hiv”。
后来我用这个软件倒是把那个旧的记录擦除了。楼主可以借鉴一下。。
http://www.kernelsword.com/article.asp?id=126

[ 本帖最后由 2012wszq 于 2012-11-12 21:38 编辑 ]

xmanweb

8809*2≈17635，所以，2023~2025就≈1000M~1050M的位置，然后你需要查看UDefrag2008的磁盘图，找到C盘的环形图，鼠标点击磁盘图，用键盘上下左右键来定位到最内圈的最后一个色块，查看它的簇号，比如2254104~2255104（大概例子），这时用2254104除以8809≈256，就可以得到每MB对应的簇数是256（当然，有的磁盘是2048或者4096这样数字，每个盘都不一样的），这时用256*1000=256000，256*1050=268800，这时你再回到UDefrag2008的磁盘图中，鼠标点击磁盘图，用键盘上下左右键来定位块，直到找到256000~268800这一区域（当然不会正好有一个色块区域那么大，只要找到包含这一区域的块就行），然后在UDefrag2008的左下角就会列出这些块里的文件了。
你仔细查看这些文件中是否有跟注册表相关的文件，或者是些日志log文件。
1、如果是注册表的文件，请查看是否是当前系统正使用的c:\windows\system32\config\system这个hiv。如果是正使用的hiv，说明注册表里的记录还没删干净，你需要进注册表编辑器，手动搜索“usbstor#”这个关键字，看到底是哪个项漏删了。如果不是当前系统正使用的hiv文件，就请报告给我他的文件存放位置，我会将它加入需要删除文件的列表里面。
2、如果是日志文件，也请报告给我他的文件名和存放位置，我会将它加入需要删除文件的列表里面。

2012wszq1233

原帖由 xmanweb 于 2012-11-4 19:25 发表
就是帖子里提供的udefrag2008啊

我用USBViewer 2012 扫描C盘，刚启动软件时，在软件的左下角显示是“0/17635”，大概扫描到“2023/17635”-“2035/17635”的区域时发现了这个U盘记录。
用“UDefrag2008”软件查看我的C盘时，总体容量显示是“8809MB”和上面的“17635”这个数字不一样，不知道上面的“17635”指的是什么含义？（不论是扇区数、簇数都对不上）因此也无法找到对应的“2023-2035”这个区域的文件，不知楼主还有没有其它的方法？？

2012wszq1233

我用USBViewer 2012 扫描C盘时，刚启动软件时，在软件的左下角显示是“0/17635”，大概扫描到“2023/17635”-“2035/17635”的区域时发现了U盘记录。
用“UDefrag2008”软件查看我的C盘时，显示是“8809MB”和上面的“17635”这个数字统一不起来，不知道上面的“17635”指的是什么含义？（不论是扇区数、簇数都对不上）因此也无法找到对应的“2023-2035”这个区域的文件，不知楼主还有没有其它的方法？？

xmanweb

就是帖子里提供的udefrag2008啊

2012wszq1233

原帖由 xmanweb 于 2012-10-30 23:58 发表

请用扫描软件观察记录出现位置，比如大约650到700兆的位置，打开磁盘整理软件，找到相应区间位置查看该位置有无空余空间，如果没有空余空间，有哪些文件，分析这些文件那些可能存有记录，然后清除该文件，再试 ...

你能否推荐一款可以显示文件位于磁盘哪个区间位置的“磁盘整理软件”呀？XP系统自带的磁盘整理好像不具备此项功能。

xmanweb

原帖由 2012wszq1233 于 2012-10-30 20:25 发表




经过多台机子的测试，此工具确实有效果，但是还是有1个记录不能清除。

说明一下我的操作过程：我是按照楼主的方法一步一步进行操作的，其中第二步、第三步和第四步的“删除文件”步骤均是在PE系统下操作 ...

请用扫描软件观察记录出现位置，比如大约650到700兆的位置，打开磁盘整理软件，找到相应区间位置查看该位置有无空余空间，如果没有空余空间，有哪些文件，分析这些文件那些可能存有记录，然后清除该文件，再试，请将测试结果发给我

2012wszq1233

原帖由 xmanweb 于 2010-12-19 17:01 发表
声明：本工具只为广大网友测试学习使用，由于使用本工具不当造成的各种损失责任均由使用者承担。


这两天根据临时需要，用批处理写了个U盘记录清理工具，目前已完全支持NT5.X和NT6.X操作系统。使用“管理员 ...

经过多台机子的测试，此工具确实有效果，但是还是有1个记录不能清除。

说明一下我的操作过程：我是按照楼主的方法一步一步进行操作的，其中第二步、第三步和第四步的“删除文件”步骤均是在PE系统下操作的。其中步骤是在windows XP3下操作的。。但是在进行第五步操作使用“WINPM9”对MFT进行压缩时，提示了一堆英文，大概意思是需要重启系统才能运行此软件进行压缩，但是重启后，还是同样的提示，因此只有第五步操作失败，其它操作正常。

以上是我操作的过程，有1个记录不能清除不知是否与第五步操作有关？（个人认为这一步应该影响不大）

xmanweb

巩固磁盘整理，用winhex这个风险太大，系统可能会崩溃的，再说了，关键字多了去了，你找不过来

2012wszq1233

另外用winhex直接找关键字可以清理干净吗？

2012wszq1233

原帖由 <i>xmanweb</i> 于 2012-10-15 22:10 发表 <a href="http://bbs.wuyou.net/redirect.php?goto=findpost&pid=2583385&ptid=183625" target="_blank"><img src="http://bbs.wuyou.net/images/common/back.gif" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open(this.src);}" onmousewheel="return imgzoom(this);" alt="" /></a><br />

<br />
第二步，挂载为HKLM下一子项，就是要选择HKEY_LOCAL_MACHINE，然后随意输入一个项名，比如“S”，然后你就可以在注册表里看到 HKEY_LOCAL_MACHINE下有一个名为S的子项了。<br />
第三步的SYSTEM文件就是指 ：\Wind ...

<br />
用defrag2008进行整理是选＂合并＂还是＂自动＂呀？

1564335

强烈支持  下载留名啦

xmanweb

原帖由 2012wszq1233 于 2012-10-15 21:45 发表 我按照楼主所说的步骤进行操作时，到了第二步就操作不下去了，可能是因为我理解不清的，因此想询问一下：第二步“.....加载配置单元—>待清理系统盘：\Windows\system32\config\SYSTEM文件，加载为HKLM下 ...

第二步，挂载为HKLM下一子项，就是要选择HKEY_LOCAL_MACHINE，然后随意输入一个项名，比如“S”，然后你就可以在注册表里看到 HKEY_LOCAL_MACHINE下有一个名为S的子项了。
第三步的SYSTEM文件就是指 ：\Windows\system32\config\SYSTEM，相关log文件就是指 \Windows\system32\config\目录下的后缀名为log的文件。
第四步有些文件或文件夹不存在就不用管了，不同系统有不同文件布局

[ 本帖最后由 xmanweb 于 2012-10-15 22:14 编辑 ]