Was genau sichert und wiederherstellt die Windows-Systemwiederherstellung?

20

Ich musste nur eine Systemwiederherstellung auf einem Windows XP-Computer durchführen, der mit Malware oder Viren infiziert war. Unter anderem hatte der Virus alle Dateien und Ordner auf allen Laufwerken versteckt, alle Verknüpfungen im Startmenü entfernt und den Desktop irgendwie ausgeblendet und gesperrt. Nachdem ich einige Dinge manuell behoben hatte (aber nicht das Desktop-Problem), dachte ich über die Systemwiederherstellung nach. Die Systemwiederherstellung war erfolgreich und das Desktop-Problem wurde behoben.

Aber das ließ mich bei den Fragen:

  • Was genau stellt die Systemwiederherstellung wieder her und nicht?
  • Gibt es bemerkenswerte Unterschiede zwischen Windows XP und der Windows Vista / 7-Systemwiederherstellung?

Bearbeiten : Ich weiß im Allgemeinen, was die Systemwiederherstellung wiederherstellt: Sie Windows-Konfiguration, aber nicht Ihre Dateien. Ich interessiere mich für detailliertere Informationen, wie das Zurücksetzen von Meta-Eigenschaften von Dateien (z. B. schreibgeschützt, versteckt), wenn Programme wiederhergestellt werden, deren Programmteile wiederhergestellt werden (nur EXE-Dateien oder auch zugehörige Dateien in der Anwendung) Daten', ...?), ...

Rabarberski
quelle

Antworten:

10

Restauriert:

  • Registrierung (Hinweis: Einige aktuelle Werte bleiben bestehen)
  • Profile (nur lokal - servergespeicherte Benutzerprofile, die von der Wiederherstellung nicht betroffen sind)
  • COM + DB
  • WFP.dll-Cache
  • WMI DB
  • IIS-Metabasis
  • Dateien mit Erweiterungen, die in der Liste Überwachte Dateierweiterungen aufgeführt sind

Nicht wiederhergestellt :

  • DRM-Einstellungen
  • SAM-Hives (stellt Passwörter nicht wieder her)
  • WPA-Einstellungen (Windows-Authentifizierungsinformationen werden nicht wiederhergestellt)
  • Inhalt des Ordners "Eigene Dateien"
  • Bestimmte Verzeichnisse / Dateien, die in der Liste der überwachten Dateierweiterungen aufgeführt sind
  • Alle Dateien mit einer Erweiterung, die nicht in der Liste der überwachten Dateierweiterungen aufgeführt sind
  • Elemente, die sowohl in Filesnottobackupals auch KeysnottoRestore ( HKLM->System->ControlSet001->Control->BackupRestore->Filesnottobackup and keysnottorestore) aufgeführt sind
  • Vom Benutzer erstellte Daten, die im Benutzerprofil gespeichert sind
  • Inhalt umgeleiteter Ordner
Mehper C. Palavuzlar
quelle
1
Ich bin mir nicht sicher, ob das stimmt. Ich habe eine Systemwiederherstellung durchgeführt, die fehlgeschlagen ist, aber den Inhalt von Eigene Dateien geändert, Änderungen
endolith
Der Link zur Liste der überwachten Dateierweiterungen ist unterbrochen.
Drew Chapin
@DrewChapin: Die Website ist derzeit inaktiv. Diese Seite enthält die offizielle Liste der überwachten Dateierweiterungen.
Mehper C. Palavuzlar
1

Wenn Sie Ihren Computer während der Virusinfektion zu einem bestimmten Zeitpunkt wiederhergestellt haben, haben Sie den Virus möglicherweise wieder eingeführt. Weitere Informationen finden Sie unter Funktionsweise von Antivirensoftware und Systemwiederherstellung .


In Bezug auf die Dateien, mit denen sich die Systemwiederherstellung befasst, sagt Microsoft :

Die Systemwiederherstellung kann Änderungen an Windows-Systemdateien, Registrierungseinstellungen und Programmen vornehmen, die auf Ihrem Computer installiert sind. Es kann auch Änderungen an Skripten, Batchdateien und anderen ausführbaren Dateitypen auf Ihrem Computer vornehmen. Persönliche Dateien wie Dokumente, E-Mails, Fotos und Musikdateien werden nicht geändert.

bryan
quelle
Also
1
Ich habe vor einigen Wochen einen Wiederherstellungspunkt festgelegt, um das Virenproblem zu minimieren, und nach der Wiederherstellung habe ich nach dem Virus gesucht. In Bezug auf Ihre Antwort suche ich nach detaillierteren Informationen als der vagen Beschreibung von Microsoft (dh was bedeutet "..kann ..."?)
Rabarberski
0

Die Systemwiederherstellung ist eine Komponente der Microsoft-Betriebssysteme Windows Me, Windows XP, Windows Vista und Windows 7, jedoch nicht Windows 2000, die das Zurücksetzen von Systemdateien, Registrierungsschlüsseln, installierten Programmen usw. auf einen früheren Status in ermöglicht der Fall einer Fehlfunktion oder eines Ausfalls des Systems.

Bei der Systemwiederherstellung kann der Benutzer manuell einen neuen Wiederherstellungspunkt erstellen, ein Rollback auf einen vorhandenen Wiederherstellungspunkt durchführen oder die Systemwiederherstellungskonfiguration ändern. Darüber hinaus kann die Wiederherstellung selbst rückgängig gemacht werden. Alte Wiederherstellungspunkte werden verworfen, um die Nutzung des Volumes innerhalb des angegebenen Bereichs zu halten. Für viele Benutzer können Wiederherstellungspunkte für die letzten Wochen bereitgestellt werden. Benutzer, die sich mit Leistung oder Speicherplatzbelegung befassen, können die Systemwiederherstellung auch vollständig deaktivieren. Dateien, die auf Volumes gespeichert sind, die nicht von der Systemwiederherstellung überwacht werden, werden niemals gesichert oder wiederhergestellt.

Die Systemwiederherstellung sichert Systemdateien bestimmter Erweiterungen (.exe, .dll usw.) und speichert sie für die spätere Wiederherstellung und Verwendung. Es sichert auch die Registrierung und die meisten Treiber.

Zufälliger Typ
quelle
Danke für deine Antwort. Ich suche jedoch nach detaillierteren Informationen (welche Dateierweiterungen speziell, in welchen Ordnern (alle?), Welche Treiber, ...).
Rabarberski
Dateien wie wichtige Systemdateien und DLLs, Ordner wie system32 und Treiber wie Chipsatz-, Grafik-, Audio- und LAN-Treiber.
Random Guy
0

in diesen zeiten der virtuellen maschinen tut jeder, der virtuelle maschinen hat (vielleicht tun sie das?), das meiste. Ich leider nicht! Aber jeder mit ihnen kann einen Test machen. Sie legen Dateien mit verschiedenen Erweiterungen in verschiedenen Verzeichnissen ab und führen eine Systemwiederherstellung durch, um festzustellen, ob die Dateien verschwinden. Ich habe vor langer Zeit einen Test gemacht, habe aber nicht die Notizen, die ich gemacht habe. Ich weiß, dass mit Windows XP C: \ Programme und dem Benutzerprofil und dem Desktop gefährdete Verzeichnisse vorhanden sind, bestimmte neue Dateien (möglicherweise nur bestimmte Erweiterungen) von dort verschwinden und Dateien in Unterverzeichnissen von Programmdateien. exe-Dateien würden verschwinden. Jedes Verzeichnis, das Sie im Stammverzeichnis wie c: \ sdfsf erstellen, ist auf jeden Fall in Ordnung. Zweifellos wird Ihre Registrierung zurückgeschoben

In XP heißt es: "Der Vorgang führt nicht dazu, dass Sie gespeicherte Dokumente oder Arbeit verlieren und ist vollständig umkehrbar." Vielleicht kommen sie mit dieser Nachricht davon, weil sie sagen, dass sie umkehrbar ist! Ich erinnere mich nicht, dass es mich nicht wundern würde, wenn es "neue" TXTs auf dem Desktop entfernt. Es werden "neue" EXE-Dateien entfernt. Mit neu meine ich seit dem wiederherstellen.

EXEs sind definitiv ein Dateityp, den es gerne entfernt, aus den Verzeichnissen, aus denen es gerne entfernt. Es könnte auch ganze Verzeichnisse entfernen, ich erinnere mich nicht, aber einen Versuch wert, Sie könnten feststellen, dass jedes neue Verzeichnis, das in c: \ program files erstellt wurde, entfernt wurde.

http://msdn.microsoft.com/en-us/library/windows/desktop/aa378870(v=vs.85).aspx "Die folgende Liste enthält die überwachten Dateinamenerweiterungen. Dateien mit diesen Erweiterungen werden vom System überwacht Wiederherstellung in Windows Vista und höher: Die Dateien, die in Windows XP überwacht oder von der Überwachung ausgeschlossen werden, werden in der Datei% windir% \ system32 \ restore \ Filelist.xml angegeben. Die Datei Filelist.xml ist in Windows Vista und höher nicht vorhanden. "

(Es ist eine lange Liste, vielleicht ist es keine gute Idee, sie zu kopieren / einzufügen)

barlop
quelle
Entschuldigung, aber Ihre Antwort ist sehr "bedingt"
Rabarberski
Wenn Sie jemals den Test selbst gemacht haben, würde ich dringend empfehlen, C: \ Programme und den Desktop mit EXE-Dateien zu testen. In XP werden Sie definitiv feststellen, dass die EXE-Dateien dort beispielsweise entfernt werden.
Barlop