Другие уже говорили об этом, но я повторю еще раз: если вы подозреваете, что программа является вредоносной программой, использование точки восстановления Windows мало чем поможет.
Если вы подозреваете, что программа может писать в те места, где вы не хотите, чтобы она писала, вам нужно выполнить резервное копирование в тех местах, где она может писать. Точка восстановления будет выполнять только резервное копирование конфигурации системы, но вредоносная программа может скрывать объекты в других местах. Минимум, который вам нужно сделать для защиты от такого вредоносного ПО, - это запускать его как другого пользователя, у которого нет разрешения на запись где-либо, кроме как в какое-то пустое место.
Если вы подозреваете, что программа может читать ваши личные данные, вам нужно запустить ее таким образом, чтобы она не смогла прочитать ваши личные данные. Резервное копирование не поможет. Опять же, запуск программы от имени собственного пользователя обеспечит небольшую защиту.
Но если вы хотите разумной защиты, вам нужна гораздо большая изоляция, чем эта. Запустите программу на виртуальной машине, которая не имеет сетевого подключения (и на которой вы не храните никаких данных, очевидно). Вы можете сделать снимок виртуальной машины перед запуском программы, чтобы впоследствии можно было восстановить этот снимок и использовать виртуальную машину для других целей.