我只需要在感染了某些恶意软件或病毒的Windows XP计算机上进行系统还原。除其他外，该病毒隐藏了所有驱动器上的所有文件和文件夹，删除了开始菜单中的所有快捷方式，并以某种方式使桌面变黑并锁定了桌面。手动修复了某些问题（但不是桌面问题）后，我想到了系统还原。执行系统还原成功，并且还解决了桌面问题。

但这给我留下了问题：

• 系统还原究竟能还原什么而不能还原什么？
• Windows XP和Windows Vista / 7系统还原之间是否有显着差异？

编辑：我通常知道系统还原将还原什么：Windows配置，而不是文件。我对更详细的信息感兴趣，例如它是否还可以重置文件的元属性（例如只读，隐藏），如果它可以恢复程序，则可以恢复程序的哪些部分（仅.exe文件或“ application”中的相关文件）数据'，...？），...

已还原：

• 注册表（注意：一些当前值将持续存在）
• 配置文件（仅本地-漫游用户配置文件不受还原影响）
• COM +数据库
• WFP.dll缓存
• WMI数据库
• IIS元数据库
• 具有“ 监视的文件扩展名”列表中列出的扩展名的文件

未还原：

• DRM设置
• SAM蜂箱（不恢复密码）
• WPA设置（不还原Windows身份验证信息）
• 我的文档文件夹的内容
• 监视的文件扩展名列表中列出的特定目录/文件
• 扩展名未在“ 监视的文件扩展名”列表中列出的任何文件
• Filesnottobackup和KeysnottoRestore （HKLM->System->ControlSet001->Control->BackupRestore->Filesnottobackup and keysnottorestore） 中都列出的项目
• 用户创建的数据存储在用户配置文件中
• 重定向文件夹的内容

如果您已将计算机恢复到感染病毒的状态，则可能是重新引入了病毒。有关详细信息，请参阅 防病毒软件和系统还原如何协同工作。

对于系统还原处理的文件，微软表示-

系统还原可以更改Windows系统文件，注册表设置和计算机上安装的程序。它还可以更改计算机上的脚本，批处理文件和其他类型的可执行文件。个人文件，例如文档，电子邮件，照片和音乐文件，不会更改。

系统还原是Microsoft Windows Me，Windows XP，Windows Vista和Windows 7（而非Windows 2000）操作系统的一个组件，该操作系统允许将系统文件，注册表项，已安装的程序等回滚到以前的状态。系统故障或故障。

在系统还原中，用户可以手动创建新的还原点，回滚到现有还原点或更改系统还原配置。此外，还原本身可以撤消。为了使卷的使用率保持在指定数量之内，将丢弃旧的还原点。对于许多用户而言，这可以提供过去几周的还原点。与性能或空间使用有关的用户也可以选择完全禁用系统还原。存储在不受系统还原监视的卷上的文件永远不会备份或还原。

系统还原备份某些扩展名（.exe，.dll等）的系统文件，并将其保存以供以后恢复和使用。它还备份注册表和大多数驱动程序。

在当今的虚拟机中，拥有虚拟机（也许是ypu做的）的大多数人。我不是不幸的！但是与他们在一起的任何人都可以进行测试。您将各种扩展名的文件放在各个目录中，进行系统还原，看看文件是否消失。很久以前我做了测试，但是没有做笔记。我知道Windows xp c：\ program文件和用户配置文件以及台式机都处于危险目录中，某些新文件（也许只有某些扩展名）将从那里消失，而程序文件子目录中的文件也会消失。exe文件将消失。您在根目录中创建的任何目录（例如c：\ sdfsf）绝对可以。毫无疑问，您的注册表已被推迟

在XP中，它表示“该过程不会导致您丢失已保存的文档或工作，并且是完全可逆的”。也许他们逃避了那个消息，因为他们说这是可逆的！我不记得它是否删除了台式机上的“新” TXT，这也不足为奇。它确实删除了“新” EXE。新的意思是自恢复以来。

EXE绝对是它想要从其删除目录中删除的文件类型。我不记得了，它也可能会删除整个目录，但是值得一试，您可能会发现在c：\ program文件中创建的任何新目录都被删除了。

http://msdn.microsoft.com/zh-cn/library/windows/desktop/aa378870(v=vs.85).aspx “以下是受监视文件扩展名的列表。具有这些扩展名的文件由系统监视在Windows Vista及更高版本中进行还原在Windows XP中受监视或排除在监视范围之外的文件在文件％windir％\ system32 \ restore \ Filelist.xml中指定。 ”

（这是一个很长的清单，对于我来说复制/粘贴它可能不是一个好主意）