Analisi dei file di registro di avvio, come Ntbtlog.txt, per la risoluzione dei problemi relativi agli errori di avvio di Windows.

Quando Windows si rifiuta di avviarsi e si blocca su una schermata nera, un ciclo di riavvio o una schermata bluLa reazione normale è il panico. Ma oltre ai tipici strumenti automatizzati, esiste una risorsa molto potente per capire cosa sta succedendo: i file di registro di avvio o Registri di avviosoprattutto i ben noti Ntbtlog.txt.

Questi registri descrivono in dettaglio quali driver e componenti vengono caricati (o non caricati) durante l'avvio del sistema.e combinato con altre utilità come Startup Repair, BOOTREC, DISM o il Registro di sistema di Windows stesso, consentono di attaccare la radice di molti problemi di avvio, sia nei computer con BIOS classico che nei sistemi moderni con UEFI (processo di avvio in UEFI).

Come funziona l'avvio di Windows e in quale fase si verifica il problema?

Prima di iniziare la revisione Ntbtlog.txt incollare i comandi nella consoleÈ importante capire come è organizzato il processo di avvio di Windows e quali componenti vengono attivati ​​in ogni fase. Questo permette di determinare se l'errore si verifica nelle primissime fasi (firmware/BIOS), nel boot manager, nel caricatore del sistema operativo o quando entra in gioco il kernel di Windows.

In termini generali, il ciclo di avvio di un moderno sistema Windows è suddiviso in quattro fasi principali. Questi problemi si verificano sia nei sistemi con BIOS tradizionale che in quelli con firmware UEFI, sebbene i file coinvolti e i percorsi varino leggermente:

• Fase 1 – PreavvioIl firmware (BIOS o UEFI) esegue il POST (Power-On Self Test), inizializza l'hardware di base e individua un disco di sistema valido. Nei sistemi BIOS, viene letto l'MBR/PBR; nei sistemi UEFI, viene caricato il firmware e viene cercata l'applicazione EFI di gestione dell'avvio di Windows.
• Fase 2 – Gestore di avvio di Windows: entra in gioco il gestore di avvio, che cerca la configurazione di avvio e decide quale sistema avviare.
• Fase 3 – Caricamento del sistema operativo Windows: il caricabatterie di sistema (winload.exe o winload.eficarica il kernel e i driver contrassegnati per essere caricati all'avvio.
• Fase 4 – Kernel di Windows NT: il nucleo (ntoskrnl.exe) prende il controllo, monta l'hive del registro di sistema, carica i driver BOOT_START e la sessione di sistema inizia (Smss.exe), che a sua volta avvia il resto dei servizi e dei controller.

Ciascuna di queste fasi presenta sintomi e messaggi di errore piuttosto caratteristici.dal tipico “Bootmgr non è presente” a errori come INACCESSIBLE_BOOT_DEVICE o schermate blu subito dopo il logo di Windows, e pertanto vengono diagnosticate e riparate con strumenti diversi.

L'obiettivo nella diagnosi di un guasto all'avviamento è quello di "catturare" il punto in cui il processo si interrompe in questa catena.A partire da lì, possiamo decidere se ha senso esaminare il file di log di avvio, il file SrtTrail.txt del ripristino all'avvio, i dump di memoria, il Registro di sistema o concentrarci sui codici di avvio (MBR, BCD, Bootmgr, ecc.).

Errori del BIOS o del firmware: come individuarli

Se il computer non visualizza nemmeno il logo di Windows Se lo schermo rimane nero senza messaggi chiari o se non si accende nemmeno correttamente, il problema risiede solitamente nel firmware stesso o nell'hardware di base.

Esistono un paio di controlli molto semplici per determinare se il sistema ha superato la fase del BIOS. oppure rimane bloccato lì:

1. Scollegare tutte le periferiche esterne (USB, dischi rigidi esterni, stampanti...). A volte il firmware tenta di avviarsi da un dispositivo rimovibile e si blocca.
2. Osservare il LED di attività del disco rigidoSe durante l'accensione non lampeggia affatto, il processo potrebbe non raggiungere il punto in cui viene letto il settore di avvio.
3. Prova a premere il tasto Bloc Num.Se l'indicatore della tastiera non cambia, di solito significa che il sistema è completamente bloccato a livello del firmware o della scheda madre.

Quando il blocco si verifica in questa fase iniziale, di solito è dovuto a un guasto hardware. (memoria, scheda madre, alimentatore, disco rigido difettoso…) e non tanto nel caso di un problema del file di avvio, quindi in questi casi l'analisi di Ntbtlog.txt e cose simili non vengono nemmeno generate.

Errori nel boot manager e nel boot loader (MBR, BCD, Bootmgr)

Se la macchina si accende, compare il logo del produttore e poi si vede una schermata nera con un cursore lampeggiante. Se ricevi messaggi come "Sistema operativo mancante", "Bootmgr mancante" o errori relativi al BCD, il problema risiede già nella fase di gestione dell'avvio (Boot Manager / Boot Loader).

Alcuni messaggi tipici di questa fase chiariscono piuttosto bene qual è la situazione.:

• Boot Configuration Data (BCD) missing or corrupted
• Boot file or MBR corrupted
• Operating system missing
• Boot sector missing or corrupted
• Bootmgr missing or corrupted
• Unable to boot due to system hive missing or corrupted

A questo punto, la soluzione più efficace è avviare il sistema da un supporto di installazione esterno di Windows. (Unità USB/DVD creata con lo strumento Microsoft o un'immagine ISO della stessa versione o di una versione successiva) e aprire il prompt dei comandi utilizzando la combinazione di tasti Maiusc+F10 o tramite le opzioni di ripristino avanzate.

Utilizzo dello strumento Ripristino all'avvio

La prima opzione da provare è l'utilità Ripristino all'avvio di Windows.perché automatizza molti controlli: verifica l'integrità dei file di avvio, tenta di correggere il BCD, ripara i settori di avvio danneggiati e genera un proprio registro delle operazioni eseguite.

Il flusso utente è molto semplice. quando si avvia il sistema dal supporto di installazione della stessa versione di Windows installata:

1. Avvia il computer dall'unità USB/DVD di installazione di Windows e, nella finestra iniziale, fai clic su Avanti > Ripara l'attrezzatura.
2. Nella schermata di selezione, inserire Risolvere problemi.
3. Accesso a Opzioni avanzate > Ripristino all'avvio e lasciare che lo strumento analizzi il sistema.
4. Al termine, spegni il computer utilizzando la procedura guidata e prova ad avviarlo normalmente.

Tutto ciò che questo strumento fa viene registrato nel file SrtTrail.txt, situato in %windir%\System32\LogFiles\Srt\Srttrail.txtSebbene non sia un registro di avvio nello stile di Ntbtlog.txtSì, è utile capire cosa ha rilevato e quali azioni ha tentato di intraprendere.

Ripara l'MBR e il settore di avvio con BOOTREC

Se Ripristino all'avvio non risolve il problema, il passo successivo classico è utilizzare lo strumento BOOTREC (vedere Guida BOOTREC) Dal prompt dei comandi dell'ambiente di ripristino. Questa utility consente di riscrivere l'MBR, ricostruire il settore di avvio e rigenerare il database BCD.

Comandi di base per risolvere i problemi tipici dell'MBR e del settore di avvio. sono:

• Riscrivi l'MBR (molto utile se un altro sistema o uno strumento di terze parti lo ha sovrascritto):
  bootrec /fixmbr
• Ripara il settore di avvio della partizione di sistema:
  bootrec /fixboot

In alcuni scenari (specialmente nei sistemi UEFI con partizionamento EFI in FAT32) Il temuto messaggio "Accesso negato" potrebbe apparire durante l'esecuzione /fixbootIn questi casi, è necessario verificare che alla partizione di sistema sia stata assegnata correttamente una lettera di unità e, talvolta, contrassegnarla come attiva oppure riparare manualmente i file di avvio copiandoli. bootmgr e il contenuto di \EFI\Microsoft\Boot.

Correggere gli errori di magazzino BCD

Quando il BCD è corrotto o punta a strutture inesistentiVedrai errori più specifici relativi ai "Dati di configurazione di avvio". Qui, BOOTREC e BCDEDIT lavorano insieme (vedi diagnosi con BCDEDIT).

Una procedura tipica per rigenerare il BCD da zero questo è:

1. Esegui la scansione per rilevare eventuali installazioni di Windows:
   bootrec /scanos
2. Se dopo la scansione il problema persiste, esegui il backup del BCD e ricostruiscilo:
   bcdedit /export C:\bcdbackup
attrib C:\boot\bcd -r -s -h
ren C:\boot\bcd bcd.old
bootrec /rebuildbcd
3. Quando ti viene chiesto se desideri aggiungere l'installazione trovata all'elenco di avvio, rispondi sì.

In alcuni casi, verrà visualizzato un messaggio di errore che indica "Impossibile trovare il dispositivo di sistema richiesto". Quando si tenta di aggiungere l'installazione, è lì che è necessario controllare con diskpart che la partizione di sistema sia contrassegnata correttamente, che le sia stata assegnata una lettera e che non sia danneggiata.

Sostituire il file Bootmgr

Se dopo diversi tentativi gli errori puntano direttamente a bootmgr danneggiatoÈ possibile scegliere di rinominare la copia danneggiata e di inserirne una nuova dalla partizione di sistema riservata o dal supporto di installazione.

L'idea generale è di lasciare quello vecchio. bootmgr sicuro e copiane uno funzionante alla partizione in cui risiede il sistema:

1. Identifica la partizione di sistema riservata (di solito senza lettera, in FAT32 o NTFS, circa 100 MB nei moderni sistemi Windows) e assegnale una lettera con diskpart se necessario.
2. In quella partizione, elenca i file nascosti e di sistema con:
   attrib -r -s -h
3. Fai lo stesso sull'unità di sistema (ad esempio, C:) per vedere il bootmgr esistenti.
4. Cambia il nome di bootmgr danneggiato, ad esempio:
   ren C:\bootmgr bootmgr.old
5. Copia il file bootmgr "sano" dalla partizione riservata di sistema alla radice dell'unità Windows.
6. Riavvia e verifica se si avvia.

Ripristinare la sottostruttura del registro di sistema

Quando gli errori indicano che l'hive di sistema non può essere caricato (“hive di sistema mancante o danneggiato”), il problema si sposta da un problema puramente legato all'avvio a un problema del Registro di sistema. In questi casi, di solito è necessario ripristinare i sottoalberi del Registro di sistema da un backup valido (è possibile vedere le tecniche per Migliora il registro di sistema con RegScanner).

Dall'ambiente di ripristino WinRE o da un disco di ripristino ERD È possibile copiare il contenuto di C:\Windows\System32\config\RegBack a C:\Windows\System32\configSovrascrivi i file danneggiati (SYSTEM, SOFTWARE, ecc.). Se il sistema continua a non avviarsi, dovrai ripristinare un backup completo del sistema e quindi ripristinare solo gli hive necessari.

Fase del kernel: schermate blu, cicli infiniti e arresti anomali dopo il logo

Se vedi già il logo di Windows, anche l'icona della "ruota" rotante con i puntiniMa se improvvisamente compare una schermata blu, il sistema si blocca o appare semplicemente una schermata nera, il problema risiede molto probabilmente nella fase del kernel o nei driver caricati in quella fase.

Alcuni sintomi tipici di fallimento in questa fase sono ben noti:

• Interrompi il codice immediatamente dopo la schermata iniziale (ad esempio, 0x00000C2, 0x0000007B, Ecc.).
• Errore di INACCESSIBLE_BOOT_DEVICE, con l'identificativo di arresto 0x7B, il che implica problemi di accesso al disco di avvio.
• La rotella di selezione rimane indefinitamente in stato di "sistema occupato".
• Lo schermo diventa nero dopo la comparsa del logo di Windows, senza alcun messaggio di messaggio.

In queste situazioni, le opzioni di recupero si basano sull'avvio in modo limitato e quindi diagnosticare utilizzando strumenti come il Visualizzatore eventi, i registri di avvio, i dump di memoria e il Registro di sistema stesso.

Prova la modalità sicura e l'ultima configurazione funzionante nota.

La modalità sicura rimane un classico perché carica solo lo stretto necessario. in modo che Windows si avvii, escludendo gran parte dei driver e dei servizi di terze parti che potrebbero causare il problema.

Dalle Opzioni di avvio avanzate Puoi provare:

• Modalità sicura
• Modalità provvisoria con rete
• Ultima configurazione funzionante nota (se disponibile nella tua versione)

Se la squadra riesce a partire in una qualsiasi di queste variantiUna delle prime cose consigliate è aprire il Visualizzatore eventi e rivedere i registri di sistema e delle applicazioni relativi al periodo in cui sono comparsi i sintomi, copiando gli eventi rilevanti per un'analisi più approfondita.

Un nuovo inizio per individuare servizi e autisti in conflitto

Quando il problema indica un servizio o un controller di terze parti (antivirus, software di backup, driver di archiviazione speciali, ecc.), è molto utile eseguire un "avvio pulito" con lo strumento msconfig.

Nelle Impostazioni di sistema è possibile selezionare "Avvio selettivo". Disabilita gradualmente i servizi non critici, soprattutto quelli non di Microsoft, finché non individui quello che causa l'errore all'avvio. Una volta individuato, puoi disabilitarlo in modo permanente e ripristinare un "avvio normale".

Se il problema risiede nella firma del driver (specialmente nei sistemi x64 con Secure Boot o requisiti di firma)Un altro metodo consiste nel partire dall'opzione "Disabilita l'uso obbligatorio dei driver firmati" e analizzare quale driver richiede una firma o sta causando un conflitto, seguendo le linee guida contenute negli articoli specifici di Microsoft su questo tipo di problema.

Errore INACCESSIBLE_BOOT_DEVICE (STOP 0x7B)

L'errore INACCESSIBLE_BOOT_DEVICE È uno dei più temuti perché implica che Windows non può accedere all'unità da cui dovrebbe avviarsi: driver di archiviazione inadeguati, filtri di terze parti, modifiche alla modalità del controller SATA/RAID nel BIOS, ecc.

Un metodo avanzato per risolvere questo errore consiste nel filtrare i driver di terze parti nel Registro di sistema. dall'ambiente di ripristino:

1. Avvia WinRE utilizzando un'immagine ISO della stessa versione di Windows o di una versione successiva.
2. Apri l'Editor del Registro di sistema e carica l'hive di sistema, assegnandogli un nome temporaneo, ad esempio test.
3. Vai alla chiave:
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class
4. Trova voci UpperFilters y LowerFilters che si riferiscono a driver non provenienti da Microsoft.
5. Per ogni conducente sospetto, cancellare il contenuto del valore del filtro corrispondente.
6. Cerca altri casi simili nell'alveare, modificali con attenzione e svuota l'alveare quando hai finito.
7. Riavvia il sistema in modalità normale e verifica se l'errore 0x7B è scomparso.

Se il problema è iniziato subito dopo l'installazione degli aggiornamenti di WindowsPotrebbe essere necessario rimuovere i pacchetti in sospeso o annullare le azioni di aggiornamento con DISM, modificando i valori nel Registro (ad esempio, il servizio TrustedInstaller) e persino rinominando file come pending.xml en WinSxS per sbloccare il processo.

Abilita la registrazione dell'avvio in Windows

A questo punto entra in gioco il protagonista di questo articolo: l'archivio. Ntbtlog.txtQuesto file è il classico registro di avvio di Windows; registra i driver e i componenti che vengono caricati (o che non vengono caricati correttamente) durante l'avvio, consentendo di individuare, ad esempio, quale driver specifico impedisce l'avvio del sistema.

BootLog non è abilitato per impostazione predefinitaMa attivarlo è molto semplice e puoi farlo in due modi principali: tramite boot.ini nei sistemi più vecchi o con bcdedit Nelle versioni moderne come Windows 10 e successive, è molto utile combinarlo con tecniche per analizzare con BootTrace.

Abilitare BootLog sui sistemi basati su boot.ini (Windows XP e simili)

Sui computer più vecchi, il file di configurazione di avvio è boot.ini, che si trova nella directory principale dell'unità in cui è installato Windows (di solito C:) ed è contrassegnato come file nascosto e di sistema.

Per modificarlo, è necessario prima visualizzare i file di sistema protetti. Dalle opzioni della cartella, individuare boot.ini e aprilo con Blocco note. Lì vedrai una riga simile a questa (anche se con parametri diversi):

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=»Microsoft Windows XP Professional» /noexecute=optin /fastdetect

Per attivare la registrazione dell'avvio, è sufficiente aggiungere il modificatore /BOOTLOG alla fine di quella lineail risultato è qualcosa del tipo:

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=»Microsoft Windows XP Professional» /noexecute=optin /fastdetect /BOOTLOG

Una volta salvato il file, il sistema inizierà a generare il record di avvio a ogni avvio.Inoltre, in situazioni di emergenza, la registrazione può essere abilitata caso per caso dal menu di avvio avanzato: premendo F8 poco prima dell'avvio di Windows e selezionando l'opzione "Abilita registrazione di avvio".

Il file generato viene sempre chiamato Ntbtlog.txt e viene salvato nella cartella di Windows, normalmente dentro C:\Windows, pronto per essere aperto con Blocco note e per verificare quali driver sono stati caricati correttamente e quali no.

Attivare e disattivare BootLog con BCDEDIT in Windows 10 e versioni successive

Nei sistemi moderni che utilizzano BCD (Windows Vista e versioni successive, incluso Windows 10)La configurazione di avvio non è più gestita con boot.inima con l'archivio dati di configurazione di avvio e lo strumento bcdedit.

Per abilitare la registrazione dell'avvio su un sistema specifico È necessario conoscere l'identificativo (ID) di quel caricatore all'interno del BCD. Questo si ottiene eseguendo il seguente comando in un prompt dei comandi con privilegi di amministratore:

bcdedit

Nel blocco “Windows Boot Loader” vedrai una riga chiamata “Identificatore” che potrebbe essere qualcosa del tipo {current} oppure un GUID diverso. Utilizzando quell'ID, puoi attivare BootLog in questo modo:

bcdedit /set {ID} bootlog Yes

Per disattivarlo, è sufficiente modificare il valore in "No".:

bcdedit /set {ID} bootlog No

Dopo il successivo riavvio, se la registrazione è abilitata, Windows genererà il file. Ntbtlog.txt sul percorso indicato con tutte le informazioni necessarie sui controller e sui moduli coinvolti nell'avvio, il che è estremamente utile per diagnosticare guasti imprevisti.

Interpretazione di Ntbtlog.txt e di altri file di log di avvio.

Anche se a prima vista Ntbtlog.txt sembra un semplice elenco di righeLa chiave sta nel capire quale schema stiamo cercando. In questo file, troverai delle voci che indicano se un controller è stato caricato correttamente o se è stato saltato.

Il trucco sta nell'individuare i driver che smettono di funzionare poco prima che si verifichi il crash o il riavvio....oppure quelli che chiaramente non appartengono a Microsoft e potrebbero causare conflitti (driver antivirus, crittografia del disco, soluzioni di backup, ecc.). Combinando queste informazioni con gli eventi del Visualizzatore eventi e, se disponibili, con i dump di memoria, è possibile circoscrivere notevolmente il problema.

In molti casi, i dump di memoria indicano esplicitamente un file driver specifico. (per esempio, \Windows\System32\drivers\stcvsm.sys (mancanti o danneggiati). Le raccomandazioni generali in questo tipo di caso sono:

• Esamina le funzionalità offerte da quel controller e valuta se sono essenziali per l'avvio.
• Se si tratta di un driver di terze parti non essenziale, disabilitarlo caricando l'hive di sistema nel Registro di sistema da WinRE.
• Eseguire lo strumento di verifica dei file di sistema (sfc) in modalità offline se si sospetta un danneggiamento dei file di sistema.
• Se si sospetta una corruzione diffusa del Registro o una recente installazione di più driver/servizi, rinominare i vecchi hive (aggiungendo .old ai nomi in C:\Windows\System32\confige ripristinare i backup di RegBackquindi tentando un avvio normale.

A volte, soprattutto dopo un importante aggiornamento di Windows, il problema durante la riparazione con DISM Proviene dalla versione originale dell'immagineSe l'immagine ISO utilizzata per il ripristino non corrisponde esattamente alla versione installata, DISM Restituisce l'errore 0x800f081f ("Impossibile trovare i file sorgente"). In questi casi, è consigliabile verificare con dism /get-wiminfo la versione esatta dell'immagine (install.wim o install.esd) e trovare un'immagine ISO che corrisponda effettivamente alla build del sistema da riparare.

In breve, i registri di avvio sono come Ntbtlog.txt, Startup Repair SrtTrail, dump di memoria e registri di DISM y SFC Essi formano un “ecosistema” informativo Questo strumento permette di ricostruire cosa accade durante ogni avvio: cosa viene caricato, cosa viene saltato, cosa si corrompe e quali modifiche (driver, aggiornamenti, software antivirus o varie utility) hanno interrotto il processo. Combinando questi strumenti con le tecniche di ripristino di MBR, BCD, Bootmgr, RegBack e avvio pulito, le probabilità di recuperare un sistema Windows che non si avvia senza una reinstallazione completa sono molto più alte di quanto possano sembrare inizialmente.

Articolo correlato:

Boot Trace in Windows 11: una guida completa all'analisi dei processi di avvio

Isaac

Scrittore appassionato del mondo dei byte e della tecnologia in generale. Adoro condividere le mie conoscenze attraverso la scrittura, ed è quello che farò in questo blog, mostrarti tutte le cose più interessanti su gadget, software, hardware, tendenze tecnologiche e altro ancora. Il mio obiettivo è aiutarti a navigare nel mondo digitale in modo semplice e divertente.