Je viens de faire une restauration du système sur une machine Windows XP infectée par un malware ou un virus. Entre autres choses, le virus avait caché tous les fichiers et dossiers sur tous les lecteurs, supprimé tous les raccourcis dans le menu Démarrer, et en quelque sorte effacé et verrouillé le bureau. Après avoir corrigé certaines choses manuellement (mais pas le problème du bureau), j'ai pensé à la restauration du système. La restauration du système a réussi et a également résolu le problème du bureau.

Mais cela m'a laissé avec les questions:

• Qu'est-ce que la restauration du système permet de restaurer et non de restaurer?
• Existe-t-il des différences notables entre la restauration du système Windows XP et Windows Vista / 7?

Edit : Je sais en général ce que la restauration du système restaure: votre configuration Windows mais pas vos fichiers. Je suis intéressé par des informations plus détaillées, comme cela réinitialise également la méta-propriété des fichiers (comme en lecture seule, masquée), s'il restaure les programmes quelles parties du programme sont restaurées (uniquement le fichier .exe ou les fichiers associés dans l'application) Les données', ...?), ...

Restauré:

• Registre (note: certaines valeurs actuelles persisteront)
• Profils (local uniquement: profils d'utilisateurs itinérants non affectés par la restauration)
• COM + DB
• Cache WFP.dll
• WMI DB
• Métabase IIS
• Fichiers dont les extensions sont répertoriées dans la liste Extensions de fichiers contrôlées

Non restauré :

• Paramètres DRM
• Ruches SAM (ne restaure pas les mots de passe)
• Paramètres WPA (les informations d'authentification Windows ne sont pas restaurées)
• Contenu du ou des dossiers Mes documents
• Répertoires / fichiers spécifiques répertoriés dans la liste Extensions de fichiers contrôlées
• Tout fichier dont l'extension ne figure pas dans la liste Extensions de fichiers contrôlées
• Éléments répertoriés à la fois dans Filesnottobackupet KeysnottoRestore ( HKLM->System->ControlSet001->Control->BackupRestore->Filesnottobackup and keysnottorestore)
• Données créées par l'utilisateur stockées dans le profil utilisateur
• Contenu des dossiers redirigés

Si vous avez restauré votre ordinateur à un moment donné de l'infection virale, vous avez peut-être réintroduit le virus. Voir Comment le logiciel antivirus et la restauration du système fonctionnent ensemble pour plus de détails.

En ce qui concerne les fichiers que la restauration du système traite, Microsoft dit -

La restauration du système peut apporter des modifications aux fichiers système Windows, aux paramètres du registre et aux programmes installés sur votre ordinateur. Il peut également apporter des modifications aux scripts, aux fichiers de commandes et à d'autres types de fichiers exécutables sur votre ordinateur. Les fichiers personnels, tels que les documents, les courriers électroniques, les photos et les fichiers musicaux, ne sont pas modifiés.

La restauration du système est un composant des systèmes d'exploitation Windows Me, Windows XP, Windows Vista et Windows 7 de Microsoft, mais pas Windows 2000, qui permet de restaurer les fichiers système, les clés de registre, les programmes installés, etc., à un état précédent dans en cas de dysfonctionnement ou de panne du système.

Dans la restauration du système, l'utilisateur peut créer un nouveau point de restauration manuellement, revenir à un point de restauration existant ou modifier la configuration de la restauration du système. De plus, la restauration elle-même peut être annulée. Les anciens points de restauration sont supprimés afin de maintenir l'utilisation du volume dans la quantité spécifiée. Pour de nombreux utilisateurs, cela peut fournir des points de restauration couvrant les dernières semaines. Les utilisateurs concernés par les performances ou l'utilisation de l'espace peuvent également choisir de désactiver complètement la restauration du système. Les fichiers stockés sur des volumes non surveillés par la restauration du système ne sont jamais sauvegardés ni restaurés.

La restauration du système sauvegarde les fichiers système de certaines extensions (.exe, .dll, etc.) et les enregistre pour une récupération et une utilisation ultérieures. Il sauvegarde également le registre et la plupart des pilotes.

en ces jours de machines virtuelles, tous ceux qui ont des machines virtuelles (peut-être le font-ils?) Je n'en ai malheureusement pas! Mais n'importe qui avec eux peut faire un test. Vous mettez des fichiers de différentes extensions dans différents répertoires, faites une restauration du système pour voir si les fichiers disparaissent. J'ai fait un test il y a longtemps, mais je n'ai pas les notes que j'ai prises. Je sais qu'avec Windows XP C: \ Program Files et le profil utilisateur et le bureau, les répertoires sont à risque, certains nouveaux fichiers (peut-être seulement certaines extensions) vont disparaître de là.et les fichiers dans les sous-répertoires des fichiers programme. les fichiers exe disparaîtraient. Tout répertoire que vous créez à la racine comme c: \ sdfsf est définitivement bien / laissé seul. Votre registre est sans doute repoussé

dans xp, il indique que "le processus ne vous fait pas perdre de documents ou de travail enregistrés et est complètement réversible". peut-être qu'ils s'en tirent avec ce message parce qu'ils disent que c'est réversible! Je ne me souviens pas s'il supprime les "nouveaux" TXT sur le bureau, cela ne me surprendrait pas. Il supprime les "nouveaux" EXE. Par nouveau, je veux dire depuis la restauration.

Les EXE sont définitivement un type de fichier qu'il aime supprimer, des répertoires qu'il aime supprimer. Il peut également supprimer des répertoires entiers, je ne me souviens pas, mais cela vaut la peine d'essayer, vous pouvez trouver que tout nouveau répertoire créé dans les fichiers c: \ program est supprimé.

http://msdn.microsoft.com/en-us/library/windows/desktop/aa378870(v=vs.85).aspx "Voici une liste des extensions de nom de fichier surveillées. Les fichiers avec ces extensions sont surveillés par le système Restaurer dans Windows Vista et versions ultérieures. Les fichiers surveillés ou exclus de la surveillance dans Windows XP sont spécifiés dans le fichier% windir% \ system32 \ restore \ Filelist.xml. Le fichier Filelist.xml n'existe pas dans Windows Vista et versions ultérieures. "

(c'est une longue liste, ce n'est peut-être pas une bonne idée pour moi de le copier / coller)