- Статистика IRC:
USB Oblivion 1.7.0.0
Утилита USBOblivion предназначена для стирания следов подключения USB-дисков и CD-ROM'ов из реестра в Windows 2000, Windows XP, Windows 2003, Windows Vista, Windows 7 как 32, так и 64-битных версиях. Утилита имеет тестовый режим работы, т.е. без фактического удаления данных из реестра, и, на всякий случай, создаёт .reg-файл для отмены всех изменений. Также имеется полностью автоматический режим работы.
Исходники проекта, англоязычное описание и багтрекер размещены на Google Code (история версий).
Файлы
usboblivion32-1.7.0.0.zip - 32-битная версия USB Oblivion.
usboblivion64-1.7.0.0.zip - 64-битная версия USB Oblivion.
Инструкция
- Не забудьте отключить все USB-диски и CD-ROM'ы.
- Работа утилиты требует наличия административных полномочий у текущего пользователя.
- По-умолчанию утилита НЕ будет ничего стирать, чтобы это сделать нужно отметить соответствующую галочку.
- По-умолчанию утилита ведёт подробный отчёт и создаст .reg-файл в папке "Документы" для отката изменений.
Командная строка
Утилита поддерживает "тихий" режим работы при использовании параметров командной строки:
- -enable - Рабочий режим очистки, иначе симуляция;
- -auto - Автоматический запуск (не влияет на режим очистки);
- -nosave - Отмена сохранения .reg-файла;
- -? - Выдача справки.
За исключением случаев, когда указано иное, содержимое этой вики предоставляется на условиях следующей лицензии: CC Attribution-Noncommercial-Share Alike 3.0 Unported
Обсуждение
У меня остались нетронуты следующие ветки:
добавьте пожалуйста ещё удаление следующего:
1. чистить ветку реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 http://blogs.technet.com/steriley/archive/2007/10/30/more-on-autorun.aspx
2. удалять файл %windir%\setupapi.log http://www.anti-forensics.com/delete-usb-device-history-from-the-windows-registry-usbstor-key-and-the-setupapilog
3. чичтить event log. там тоже может быть инфа о usbstor http://discussions.virtualdr.com/showthread.php?t=247981
Программа просто супер. Спасибо. Единственное, чего не хватает – это возможность удаления следов конкретной флешки. Подскажите, как это можно сделать. Плиз!!!
думаю сюда эту функцию не надо. удалять конкретные флешки может прога USBDeview - http://www.nirsoft.net/utils/usb_devices_view.html
Привет все. Прога отличная. поставил на автозапуск и нет проблем. но тем не менее товарищи нюхатели тоже учатся. Так что для большего спокойствия своей души, ребята отключайте восстановление системы. почистил, восстановился на последнюю точку и вот они все родимые. Что сделали друзья у моих соседей.
Олег, а что у твоих соседей нет Админа? Или он с соседями заодно? :) Если не заодно, просто пользователи с ограниченными правами, запрет на подключение флешек и съемных юсб дисков, в крайнем случае если нужно выборочное подключение флэшь, то установить Secret Net, и внести нужные в белый список. Сам работаю спецом по защите информации в войсках, на всех компах где не нужно с помощью Каспера 6-й версии запретил все выше названное, в том числе сотовые, и флэшь модемы, отобрал у всех пользователей Админские права, запаролил БИОС, отключил в нем загрузку всего, кроме жесткого диска, опечатал корпуса системников, где нужно подключение служебных зарегистрированных флэшь, поставил Секрет, и голова не болит при проверках ребятами из службы ЗГТ, а слишком умные бойцы теперь отсасывают. Вот так, как то. :)
Опцию выбора устройств подлежащих удалению ещё бы.. )
Возможно ли запланировать автоматический запуск утилиты, например с помощью планировщика задач. Пытался создать .bat-овский файл и на основе него запланировать задачу, ничего не получается, хотя, если запускать файл через runas всё отлично работает. Собственно, исходная задача следующая: в домене накинуть политику которая бы при включении/выключении автоматически запускала бы USB Oblivion/
.bat-овский файл можно запустить следующим образом: cmd.exe /k с:/task.bat Если надо выполнять при включении, то можно поставить задание в автозагрузку, если надо при выключении, то нужно пользоваться сторонними программами; а может даже планировщик Windows сможет выполнить такое задание (никогда им не пользовался)
Подскажите пжл, как отменить изменения?
Утилита создаёт .reg-файл для отмены изменений (по-умолчанию в папке Мои Документы), по нему нужно просто даблкликнуть и всё восстановится, что было удалено из реестра.
Последняя версия не до удалила USBflags в реестре
Конкретнее какие флаги? Какая ОС? Можно получить .reg-файлик с экспортированными виновными ключиками?
Windows XP sp3, вставил флешку (телефон через кабель) - вынул. Чистил. перезагрузился. Далее в реестр. Задал поиск "usbflags". Нашёл в трёх местах ветви usbflags, в которой остались номера "VIDPID" вставленных флешек и др. устройств. .reg-вышлю чуть позже.
Добавлено в версии 1.6.0.0.
Ещё предложение: для сокрытия следов при завершении работы программы удалять ссылку на USBOblivion32.exe из HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache и из журналов типа c:\windows\Prefetch
У меня предложение к автору добавить следующие ключи реестра: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00x\Services\Disk\Enum HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00x\Services\PartMgr\Enum Там флешки тоже прописываются.
Сомнения у меня по поводу этой ветки. У меня там ключ про usb-жесткий диск. Начинается с IDE\Disk_бла-бла-бла. Может там про жесткие диски, которые втыкали в систему? А если там же ключи про IDE/SATA диски? Как распознать что удалять, а что нет?
Оказывается там хранятся подключенные в данный момент устройства, при вытаскивании флешки, она оттуда пропадает, так что чистить нет необходимости. А определить флешку можно видимо по надписи ="USBSTOR\\…" в начале, жесткие диска начинаются с "IDE\\…", причём SATAшные диски тоже.
Пример:
"1"="IDE\\DiskST3120827AS_3.42\\2020202020202020202020204D35315452593445"
"2"="USBSTOR\\Disk&Ven_Generic&Prod_External&Rev_2.06\\303830373237464230323430&0"
Вы правы, Александр. Там информация о текущих дисках. У меня IDE\Disk_бла-бла-бла - это родной диск на ноуте. Стало быть определять ничего не надо - удалять ни к чему.
У меня такой вопрос по программе. [skip] Что означает нижеприведенный текст и почему не обнуляется этот счетчик. Ведь это косвенное подтверждение подключения флешек…
Найдено точек монтирования: 33По точкам монтирования невозможно догадаться что они от флешек, может быть пользователь монтировал сетевые диски или менял буквы существующих жестких дисков или subst-дисков.
И все-таки, возможно ли добавить в программу очистку и точек монтирования заодно? Ведь они никак не повлияют на целостность системы, а поводов для "подозрений" будет меньше
Наоборот - больше, типа ниразу не вставляли лазерный диск и ниразу не подключали сетевой?
Хм, ну может Вы и правы. В таком случае, имхо, было бы неплохо добавить окошко с настройками, что удалять, а что не нужно. Если конечно не сложно
Те записи, что связанны с флешками чистит сама программа, а остальные, даже если их и показать, ничего пользователю не скажут, абракадабра.
Вопрос по следам, которые остаются в реестре от работы программы USB Safely Remove. Я так думаю, что ветку реестра HKEY_CURRENT_USER\Software\SafelyRemove\Drives необходимо полностью очищать (удалять). В ней видна полная история всех USB устройств используемых, когда-либо на компьютере.
Заранее спасибо.
В версии 1.5.0.0 эта ветка реестра не чистится. Ждем обновления. Заранее благодарен.
"Програмка золото" Я конечно дико извиняюсь но нельзя ли подробнее про командную строку для чайников, а лучше для полных чайников. Ну очень нужно… "НКВД" надоедают.
-enable -auto -nosave
Куда именно это вписать. Пожалуйста дайте что-то вроде пошаговой инструкции.
Параметры командной строки ярлыку задаются очень просто. Создаем ярлык на программу USB Oblivion, помещаем его в автозагрузку. Далее правой клавишей по ярлыку, выбираем "свойства", в строке "объект" в конце записи о пути программы - после, например, "D:\USBOblivion\USBOblivion64.exe" ЧЕРЕЗ ПРОБЕЛ добавляем -enable -auto -nosave. Т. е. получится: "D:\USBOblivion\USBOblivion64.exe -enable -auto -nosave" (без кавычек!). Рекомендую в строке "окно" выбрать "свернутое в значок" - не будет бросаться в глаза. Удачи!
сделай в блокноте такую запись D:\usboblivion32-1.5.0.0\USBOblivion32.exe -auto -nosave измени расширение блокнота на .bat и добавь этот файлик в автозагрузку поместив папку с прогой на диск Д
А нельзя ли сделать эту великолепную програмку "USB Oblivion" без галочек, то есть чтобы програмка сразу:
1. выполняла реальную очистку не спрашивая и не создавая никаких reg файлов отката
2. могла запускаться при включении компьютера
в этом случае эта програмка была бы просто безценное золото.
1. Читайте выше раздел "Командная строка".
2. Добавьте ярлык с нужными параметрами командной строки в меню "Автозапуск".
она золото.
добрый день, в windows 7 ultimate пытался удалить флешьки - в процессе выполнения программа пишет "удаление ключа .." затем "ошибка доступа к ключу .." и соответственно не удаляет, подскажите в чем может быть проблема?
Видимо для полного доступа к ключу нехватает прав текущего пользователя.
чего то даже в ручную не удаляются эти ключи, хотя разрешения выставляю - полный доступ, странно
Потому что там есть вложенный ключ к которому доступ имеет только аккаунт SYSTEM (т.е. сама система). Именно поэтому моя утилита перед началом очистки пытается залогинится под этим аккаунтом. Удалось ей это или нет видно в логе. Причём такой логин требует прав локального администратора. Собственно это написано в краткой инструкции выше.
есть такой косяк, давно заметил, некоторые ключи никак, даже вручную не удалить, и разрешения тут не при чем, и наследование разрешений тоже, только последовательно начиная с последнего потомка и вверх по дереву, не в курсе что за косяк?
Это именно нехватка прав.
объясните мне пожалуйста, не профессионалу, как получить доступ или управление этими ключами: в системе один пользователь и он с правами администратора
Запустите regedit.exe под системным аккаунтом, например, при помощи утилиты "psexec -s -i regedit". Только зачем? Пользуйся моей утилитой, она умеет так входить под SYSTEM самостоятельно.
специально обозначил, права тут не при чем, из под SYSTEM не удаляет, даже не помогает из под SYSTEM reg.exe delete имя_раздела /f, только руками, не смотрел как Вы там на С++ замутили, не силен, может Вы не сталкивались с такой фичей еще, или я чего не понимаю…
Ещё раз повторяю - это права такие. Они могут наследоваться ил нет, могут включать или нет администраторов, могут позволять читать ключ или нет, ты можешь быть владельцем ключа или нет и т.д., много нюансов которые ты не понимаешь и можешь накосячить.
И ещё, реестр кешируется, а вот права похоже глючат в кеше, часто бывает что ключ который "сопротивлялся" всем операциям с ним в regedit становится совершенно нормальным после простой перезагрузки компа.
Спасибо, довольно развернуто. Я сталкивался с таким "сопротивлением" при удалении информации об установленных флешках на машинах, на которых их было установлено приблизительно 350-400 штук - соответственно несколько тысяч ключей - и, по моим наблюдениям, такие ключи после перезагрузки продолжают "сопротивляться". Предлагаю закрыть. Разберусь.
Похоже Вы были правы на счет кеширования и перезагрузки - последние несколько раз прокатило. Благодарю.
У меня получилось ручками удалить. Вот что я сделал: Нужно сначала стать хозяином ветки реестра, потом получить полные права, но это не поможет удалить, а только доступно будет заглянуть глубже в ветку. Так нужно делать рекурсивно, пока не дойдёшь до дна, но там очень глубоко (HKLM\SYSTEM\ControlSet00x\Enum\USB и USBSTOR) и вручную это слишком муторно.
Стало быть или перезагрузка или ручками, как и сказано в моей статье :) (наверное Вы ее читали - такие же выражения)
А где же приложение? Выложи поюзать.
Какое ещё приложение?
Извини, писал для da440dil с телефона. Почему то сообщение перепрыгнуло. Хотелось бы взглянуть на его приложение.
Иван, чуть ниже ссылка, юзай :)
*.reg файл, созданный в папке "Мои документы" не устанавливается, пишет ошибку
А зачем его вообще запускать?
последнюю версию испытал следы все равно можно найти даже примитивным поиском в реестре например со следующим запросом найти в значении параметров реестра - "X:\" где X:\ буква следующего диска который по логике должен бы получить подключенный USB носитель в данной системе.
Все части реестра кому-то да принадлежат, USB Oblivion чистит только системную часть (драйвера и Проводник), за другие программы утилита не отвечает. Для их очистки воспользуйтесь утилитами типа Norton SystemWorks. Собственно наличие имён дисков не означает, что данный диск был флешкой, это вполне мог быть CD-ROM или раздел жёсткого диска (буквы легко меняются, можно даже назначить две буквы одному устройству).
Буквы дисков находятся здесь: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses HKEY_LOCAL_MACHINE\SYSTEM\ControlSetХХХ\Control\DeviceClasses в моем приложении вычищается, welcome :) ryo-oh-ki, а я тут совсем рядом, оказывается :), чуть больше 100 километров
А точнее в каком классе устройств? Там классов много разных (флешки, cd-romы, SD-карты), причём они слегка отличаются между версиями Windows.
Я в цикле для каждого класса получаю подраздел и если в его названии упоминается имя USB или USBSTOR - удаляю. Точно не знаю, на 7 не пробовал, сомневаюсь, что в 7 шаблон названия ключей отличается от предыдущих
1. Есть прога: SafelyRemove. В ключе HKEY_CURRENT_USER\Software\SafelyRemove\Drives и соответственно HKEY_USERS\S-… храниться информация об использованных usb-накопителях (если нужно пришлю ключи реестра).
2. Остаются хвосты: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet(001, 002)\Control\DeviceClasses\{10497b1b-ba51-44e5-8318-a65c837b6661}\##?#WpdBusEnumRoot#UMB#2&3…, HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\KnownDevices\WpdDeviceHandler_USB#VID_04A9&PID_30FE#5&476FB6F&0&4\KnownInterfaces
3. Значение [HKEY_CURRENT_USER\Software\SafelyRemove\Drives\USB*VID_058F&PID_6387*SZXCH8Q1\Volumes\?*Volume{c1ecac59-61e6-11e0-a675-005056c00008**}*] соответствует HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
Ждем обновления?
Добавлено в версии 1.5.0.0.
занимался проблемой удаления следов USB-устройств, решил на VBScript, кому интересно (позвольте оставить ссылку) - здесь: http://da440dil.narod.ru - статья, исходники, решение, не так глубоко как у вас, на что хватило :)
Спасибо за программу! У нас флешки только из особого перечня можно использовать, к сожалению этой программой удаляется все. Необходима возможность выбора, что удалять, а что оставить. Чтобы по умолчанию на удаление были помечены ВСЕ, но какие-то Флэшки можно было ОСТАВИТЬ сбросив [V]. Сейчас после чистки отсутствие подключавшихся ранее "законных" флэшек сразу бросается в глаза…
А вот Принтеры и Сканеры подключены у нас "законно" и их трогать не надо. Много такой сложной техники, что замучишься переустанавливать… Некоторые просят чистить и эти устройства - тогда может придумать настройку по типам устройств? Чистить ли Принтеры- Сканеры? Чистить ли Usb-модемы? - (Интернет у нас запрещен!)
С нетерпением жду новую версию! Будет???
Набрал в командной строке ntmsmgr.msc, там много интересного оказалось и фотокамеры, и телефоны, и флешки.
Это оснастка "Съёмные ЗУ", начиная с Windows Vista она не установлена в системе: такого файла нету, данные по дискам не сохраняются.
Спасибо отличная прога! Но один большой вопрос - в файле infcache.1 хранится куча информации о подключенных ранее USB - программа что то с этим файлом делает?
Добавлено в версии 1.5.0.0.
Часто бывает, что флешки из особого перечня можно втыкать, этой программой удаляется все. Хотелось бы, чтобы данные флешки не удалялись. Т.к. может возникнуть резонный вопрос - флешки есть, но ими не пользовались.
Модем могу подарить )) если это пригодиться… мне он.. и эта опция особо и не важна )) если в мск конечно )
это к вопросу про модемы usb ))
Незаменимая программа)) в общем из того что заметил… не удаляет в 2000 в апплете уравления компьютером, во вкладке управление дисками… И есть еще вопрос, возможно ли ее скрытое запускание ?? чтоб окошко не появлялось ??
Программа хорошая, спору нет, но следы всё таки остаются. Было бы не плохо иметь такую же но под линукс.
спасибо за программу, есть пожелания:
1. удаление USB модемов (это крайне актуально, потому что некорректно вставший модем причиняет огромное количество проблем, вплоть до переустановки системы)
2. удаление USB WIFI сетевых контроллеров
Спасибо! лучшее что нашел. Тоже просьба по поводу setupapi.log и если я не ошибаюсь программа оставляет в реестре папку usbstor пустую, хотя её нет поумолчанию, она создается при первом usb контакте
Сделано в версии 1.4.0.0.
Да, программа вещь. Есть только одно пожелание. Так как сейчас очень популярны usb-модемы (Мегафон, Скайлинк, МТС и т.д.) и они, редко но бывает, устанавливаются не корректно. Попробуйте добавить функцию удаления этих самых usb-модемов, которые видны, например, программой usbview, чтобы потом заново установить их вчистую.
P.S. возможно я ошибаюсь в том, что удаление этих модемов решит проблему с повторной установкой? Если да, то поправьте меня.
отличная программа… готов пожертвовать 100р. Куда?
Отличная программа. Есть идея добавить очистку файла setupapi.log и журналов Windows. Там флешки тоже прописываются, и некоторые умники вручную их ищут именно там :)
Доступно начиная с версии 1.4.0.0.
Отличная работа! Спасибо огромное. Мою прогу теперь можно выкидывать, твоя получше будет ;)
где, или бросил это дело? в смысле программировать
Что где?
Программа R-Wipe&clean Вам в помощь. Встречается portable версия. Вместе с USB Oblivion-следов работы не остается.
Хорошая программа, но она не удаляет следы флешек в пулах съемных ЗУ (Управление\Съемные ЗУ\Физическое размещение) в windows 2000, приходится чистить вручную. Следы также остаются в логах c\windows\setupapi.log
Спасибо за программу…!!!
Чтобы так не попадать в дальнейшем, приучите себя читать инструкции. Для этого они и написаны. Пункт 1. Не забудьте отключить все USB-диски и CD-ROM'ы. для кого написано?
в таком случае я бы не смог воспользоваться этой программой. Вообще, было бы удобно сделать возможность выбора, что удалять, а что оставить. По умолчанию, везде галки, т.е. удалять ВСЕ. А что не надо - галку снял. Тогда было бы очень универсально.
Прога отличная. Но я с ней попал! Почистил все на компе с внешним usb-HDD, если б на нем не стояла винда, было б все нормально, но теперь винда с внешнего HDD уже не грузится, че делать? рег. файл есть, как назад вернуть все? Посоветуйте, плизз. А еще лучше, для будующих версий, для таких неопытных людей как я, сделать чтобы подключенные устройства не чистились, или хотя бы опционально через выбор(чистить/ не чистить подключенные) это как-то сделать.
Поработал с USB модемом МТС, потом удалил следы программой USB Oblivion. Потом посмотрел USB вьювером, а следы от модема остались. Значит на работе в интернет зайти нельзя, хвосты остаются, безопасники сразу узнают, а жаль. (Интернет нам официально запрещен).
Конечно остались, собственно модемы вообще моей программой не трогаются, они же не флешки. Конструктивные предложения по конкретным ключикам реестра есть? (USB-модема у меня нету, протестировать сам не смогу).
Можно ли встроить в Вашу программу чистку реестра от следов цифровых фотоаппаратов и сканеров ?
Большое спасибо за программку !
Отличная программа! Пожелания: удалять информацию из ветки HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 и HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
Программа удаляет данные из этих веток которые считает лишними, проблема в том, что всё подчистую удалять нельзя, иначе Проводник потеряет все диски.
По крайней мере можно удалять записи типа: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
прога супер. не всегда удаляются имена разделов типов Vid, если можно, учтите. прога супер!
Пример такой не удаляемой записи можно?
вот что остается (имя самого раздела) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USB\Vid_04e8&Pid_507c …….. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USB\Vid_090c&Pid_1000 ………. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USB\Vid_1307&Pid_0163 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USB\Vid_1687&Pid_6211
Программа даже не пытается удалить эти ключи или просто не может и в логе есть ошибки? Было бы неплохо получить на е-мейл этот лог.
Отличная программа! Выручила и не раз!
Отличная и очень нужная программка. Большое спасибо за нее. Уже не раз выручала перед "контролерами-нюхателями". Неплохо бы иметь и функцию удаления принтнров, тогда бы "ребятам" был вообще полный облом!
Спасибо за отличную программу. Есть пожелание. Неплохо было бы добавить возможность удаления USB CD.
Вот примеры веток из реестра:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR\CdRom&Ven_DRV&Prod_DRV_USB&Rev_PMAP
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}\##?#USBSTOR#Disk&Ven_DRV&Prod_DRV_USB&Rev_PMAP#B4A2130027900018&1#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}
Поддержка CD-ROMов добавлена с версии 1.3.0.0.
Пробуйте…
Огромное СПАСИБО!
прога нормуль, полезная! все записи реестра почищены в нуль, причем в W7…
Запустил проверил, если это действительно работает то блин респект и уважуха, искал полгода. А как пожелание можно добавить поддержку удаления всех следов запущенных документов с флешок.
Программа супер! А подобную для полного удаления принтеров из win 7 x64 сделать можете? Материальную помощь проекту гарантирую.
Не могу представить практическое применение такой программы…
Есть организации, в которых запрещено использование принтеров, а печатать надо! Вот и приходится подпольно ставить свои принтеры, а перед проверкой прятать их.
Отличная программа, причём единственная, сделанная качественно, учитывая тот факт, что информации о таких ключах в реестре нигде нет. Использовал её в масштабах предприятия. Чистит данные "на ура". Ни одна прога для проверки присутствия флешек не заметила следов их присутствия. Разработчику можно выразить благодарность.
Пожелание: сделать программу разворачиваемую на весь экран.
Хорошая мысль, спасибо за идею.
Добавь, пожалуйста, возможность просмора какие ключи найдены. А то горизонтальной полосы прокрутки нет, половина обрезается. Еще хорошо бы добавить help c описанием в каких ветвях ищется и по каким критериям удаляется. Было бы здорово, если будет написано за что эти ветви отвечают.
Возможность просмотра найденных ключей изначально присутствует в программе - это .reg-файл, просто открой его в Блокноте.
К сожалению я не подготовил отчёт по найденным ключам, и не думаю, что я на этот подвиг способен.
Однако вся информация доступна на сайте Microsoft, и по исходникам программы ясно видны все ветки реестра.
P.S. Скоро выпущу версию, которая не требует поддержки psexec и нормально работает под Vista и 7 с включенным UAC.