[XXXler]

Erekle, вы несколько преувеличиваете, либо недопонимаете алгоритм работы System Restore в WinXP. Постараюсь обосновать.

Восстановление системы ставит хук на события создание\дозапись\удаление файлов и создание\удаление каталогов, и пользуясь фильтром по расширению отслеживает операции с ними. Так-же гдето раз в сутки выполняется полное резервное копирование новых\измененных, относительно предыдущей рабочей точки восстановления, файлов, также возможен вызов через собственное API. Следовательно вирусы попадают туда весьма естественным путем .

В пределах точки восстановления идет сквозная номерация файлов в формате Axxxxxxx (7 - значный счетчик), оригинальным остается только расширение, соотвествие имя файла_в_точке_восстановления -> его_расположение_на_диске заносится в файл change.log точки восстановления.

Точки восстановления откатываются либо вручную, либо вызовом через собственное API. Также следует различать действия System Restore, резервирования конфигурации оборудования (создает дубль ветки реестра HKLM\SYSTEM\CurrentControlxxx автоматом при удачном запуске Win) и System File Check (SFC, следит за фиксированным списком системных файлов проверяя их по цифровым подписям и восстанавливая в случае необходимости)

Следовательно гадание гуглом на имени файла в точке восстановления - весьма туманное и безрезультатное занятие.