Я уже говорил, что это все опасно, если не на своей машине тестируется или кто-то злонамеренно поставил эту гадость на домашний комп, прецеденты уже были.
В случае очень большого желания безопасники на предприятии при таких противодействиях могут подвести под уголовную статью.
Что касается исследования реестра и т.п., однозначно надо грузиться с какого-нибудь загрузочного диска, позволяющего читать реестр, и уже тогда смотреть.
Подставные данные для чего? Чтобы свой сервер поднять? Или чтобы не могли сливать ничего? Просто в оффлайне такой софт обычно накапливает данные и, когда админ домена захочет, то данные будут вылиты в сервер, который все же вернется на место. Гораздо проще как-нибудь обезглавить софт в безопасном режиме, чтобы не запускался, и поставить какой-нибудь Private Firewall, чтобы не поставили снова и никуда ничего не передавал.