マルウェアやウイルスに感染したWindows XPマシンでシステムを復元する必要がありました。とりわけ、このウイルスはすべてのドライブ上のすべてのファイルとフォルダを隠し、スタートメニューのすべてのショートカットを削除し、何らかの形でデスクトップを空白にしてロックしていました。（デスクトップの問題ではなく）手動でいくつかの問題を修正した後、システムの復元について考えました。システムの復元が正常に実行され、デスクトップの問題も修正されました。

しかし、これは私に質問を残しました：

• システムの復元は正確に何を復元し、復元しませんか？
• Windows XPとWindows Vista / 7システムの復元に顕著な違いはありますか？

編集：一般に、システムの復元が復元するものを知っています：Windowsの構成はありますが、ファイルはありません。ファイルのメタプロパティ（読み取り専用、非表示など）もリセットする、プログラムの一部を復元するプログラム（.exeファイルのみ、または 'applicationの関連ファイルも）データ」、...？）、...

復元済み：

• レジストリ（注：一部の現在の値は保持されます）
• プロファイル（ローカルのみ-復元による影響を受けない移動ユーザープロファイル）
• COM + DB
• WFP.dllキャッシュ
• WMI DB
• IISメタベース
• 記載されている拡張子を持つファイルを監視対象ファイル拡張子のリスト

復元されない：

• DRM設定
• SAMハイブ（パスワードを復元しません）
• WPA設定（Windows認証情報は復元されません）
• マイドキュメントフォルダの内容
• Monitored File Extensionsリストにリストされている特定のディレクトリ/ファイル
• Monitored File Extensionsリストにリストされていない拡張子を持つファイル
• FilesnottobackupとKeysnottoRestore （HKLM->System->ControlSet001->Control->BackupRestore->Filesnottobackup and keysnottorestore）の 両方にリストされているアイテム
• ユーザープロファイルに保存されたユーザー作成データ
• リダイレクトされたフォルダーの内容

ウイルス感染中にコンピューターを復元した場合は、ウイルスを再導入した可能性があります。詳細については、 ウイルス対策ソフトウェアとシステムの復元の連携をご覧ください。

システムの復元が処理するファイルに関して、Microsoftによると-

システムの復元は、Windowsシステムファイル、レジストリ設定、およびコンピューターにインストールされているプログラムを変更できます。また、コンピューター上のスクリプト、バッチファイル、およびその他の種類の実行可能ファイルに変更を加えることもできます。ドキュメント、電子メール、写真、音楽ファイルなどの個人用ファイルは変更されません。

システムの復元は、MicrosoftのWindows Me、Windows XP、Windows VistaおよびWindows 7のコンポーネントですが、Windows 2000ではなく、システムファイル、レジストリキー、インストールされたプログラムなどを以前の状態にロールバックできるオペレーティングシステムです。システムの誤動作または障害のイベント。

システムの復元では、ユーザーは新しい復元ポイントを手動で作成したり、既存の復元ポイントにロールバックしたり、システムの復元構成を変更したりできます。さらに、復元自体を元に戻すことができます。ボリュームの使用量を指定された量内に保つために、古い復元ポイントは破棄されます。多くのユーザーにとって、これは過去数週間をカバーする復元ポイントを提供できます。パフォーマンスやスペースの使用に関心のあるユーザーは、システムの復元を完全に無効にすることもできます。システムの復元によって監視されていないボリュームに保存されているファイルは、バックアップも復元もされません。

システムの復元は、特定の拡張子（.exe、.dllなど）のシステムファイルをバックアップし、後で回復して使用するために保存します。また、レジストリとほとんどのドライバーをバックアップします。

最近の仮想マシンでは、仮想マシンを持っている人（おそらくypuがしているのでしょうか？）残念ながら私はしません！しかし、彼らと誰でもテストを行うことができます。さまざまな拡張子のファイルをさまざまなディレクトリに配置し、システムの復元を実行して、ファイルが消えるかどうかを確認します。私はずっと前にテストをしましたが、私が作ったメモを持っていません。私はWindows XPのc：\ programファイルとユーザープロファイルとデスクトップが危険なディレクトリにあることを知っています、特定の新しいファイル（おそらく特定の拡張子のみ）がそこから消えます。プログラムファイルのサブディレクトリ内のファイル exeファイルは消えます。c：\ sdfsfのようにルートに作成するディレクトリは、間違いなくそのままです。レジストリがプッシュバックされることは間違いありません

XPでは、「プロセスによって保存されたドキュメントや作業が失われることはなく、完全に元に戻せる」と書かれています。彼らはそれがリバーシブルだと言うので、多分彼らはそのメッセージで逃げます！デスクトップ上の "新しい" TXTが削除されても、私は覚えていませんが、私を驚かせることはありません。「新しい」EXEは削除されます。新しいことで私は復元以来を意味します。

EXEは間違いなく、削除したいディレクトリから削除したいファイルタイプです。ディレクトリ全体も削除される可能性がありますが、思い出せませんが、試してみる価値はありますが、c：\ program filesに作成された新しいディレクトリが削除される場合があります。

http://msdn.microsoft.com/en-us/library/windows/desktop/aa378870(v=vs.85).aspx 「以下は監視対象のファイル名拡張子のリストです。これらの拡張子を持つファイルはシステムによって監視されますWindows Vista以降での復元：Windows XPで監視または監視から除外されるファイルは、ファイル％windir％\ system32 \ restore \ Filelist.xmlで指定されますファイルFilelist.xmlは、Windows Vista以降では存在しません。 」

（それは長いリストです、多分私はそれをコピー/貼り付けするのは良い考えではありません）