Анализ файлов журналов загрузки, таких как Ntbtlog.txt, для устранения неполадок при запуске Windows.

Когда Windows отказывается загружаться и зависает на черном экране, в цикле перезагрузки или на синем экранеОбычно реакция — паника. Но помимо стандартных автоматизированных инструментов, существует очень мощный ресурс для понимания происходящего: файлы журналов загрузки или Журналы загрузкиособенно известные Ntbtlog.txt.

В этих журналах подробно указано, какие драйверы и компоненты загружаются (или не загружаются) во время запуска системы.а также в сочетании с другими утилитами, такими как средство восстановления при запуске. BOOTREC, DISM или сам реестр Windows позволяют атаковать корень многих проблем с загрузкой, как на компьютерах с классическим BIOS, так и в современных системах с UEFI.процесс загрузки в UEFI).

Как работает запуск Windows и на каком этапе происходит сбой?

Прежде чем начать проверку Ntbtlog.txt вставлять команды в консольВажно понимать, как организован процесс загрузки Windows и какие компоненты активируются на каждом этапе. Это позволит определить, возникает ли ошибка на самом раннем этапе (прошивка/BIOS), в менеджере загрузки, в загрузчике операционной системы или когда вступает в действие ядро ​​Windows.

В общих чертах, цикл запуска современной системы Windows делится на четыре основных этапа. Эти проблемы возникают как на машинах со старым BIOS, так и в системах с прошивкой UEFI, хотя задействованные файлы и пути к ним немного различаются:

• Этап 1 – Предварительная загрузкаВстроенная микропрограмма (BIOS или UEFI) выполняет POST (самодиагностику при включении питания), инициализирует базовое оборудование и находит действительный системный диск. В системах с BIOS считывается MBR/PBR; в системах с UEFI загружается встроенная микропрограмма, и выполняется поиск приложения EFI диспетчера загрузки Windows.
• Этап 2 – Диспетчер загрузки WindowsЗдесь вступает в игру менеджер загрузки, который ищет конфигурацию загрузки и решает, какую систему запустить.
• Этап 3 – Загрузчик ОС Windows: системное зарядное устройство (winload.exe o winload.efi) загружает ядро ​​и драйверы, помеченные для загрузки при загрузке системы.
• Этап 4 – Ядро Windows NT: ядро ​​(ntoskrnl.exe) берет управление на себя, монтирует раздел системного реестра, загружает драйверы. BOOT_START и начинается системная сессия (Smss.exe), что, в свою очередь, запускает остальные сервисы и контроллеры.

Каждый из этих этапов имеет вполне характерные симптомы и сообщения об ошибках.от типичной ошибки «Bootmgr отсутствует» до таких ошибок, как INACCESSIBLE_BOOT_DEVICE или синие экраны сразу после логотипа Windows, поэтому их диагностируют и устраняют с помощью различных инструментов.

Цель диагностики начальной неисправности состоит в том, чтобы «обнаружить», в какой точке этой цепочки происходит сбой в процессе.Исходя из этого, мы можем решить, имеет ли смысл изучать файл журнала загрузки, файл SrtTrail.txt из восстановления при запуске, дампы памяти, реестр или сосредоточиться на кодах загрузки (MBR, BCD, Bootmgr и т. д.).

Сбои в работе BIOS или микропрограммы: как их обнаружить.

Если компьютер даже не отображает логотип Windows Если устройство зависает на чёрном экране без чётких сообщений или даже не включается должным образом, проблема обычно заключается в самой прошивке или в базовом оборудовании.

Существует несколько очень простых проверок, позволяющих определить, прошла ли система этап BIOS. или оно там застряло:

1. Отключите все внешние периферийные устройства. (USB-накопители, внешние жесткие диски, принтеры…). Иногда прошивка пытается загрузиться со съемного устройства и зависает.
2. Обратите внимание на светодиодный индикатор активности жесткого диска.Если индикатор вообще не мигает во время включения питания, возможно, процесс не доходит до момента считывания загрузочного сектора.
3. Попробуйте нажать клавишу Num Lock.Если индикатор на клавиатуре не меняется, это обычно указывает на то, что система полностью зависла на уровне прошивки или материнской платы.

Когда зависание находится на такой ранней стадии, это обычно происходит из-за аппаратной неисправности. (память, материнская плата, блок питания, неисправный жесткий диск…) и не так сильно в случае проблем с загрузочным файлом, поэтому в этих случаях анализ Ntbtlog.txt И подобные вещи даже не создаются.

Ошибки в менеджере загрузки и загрузчике (MBR, BCD, Bootmgr)

Если устройство включится, появится логотип производителя, а затем вы увидите черный экран с мигающим курсором. Если вы получаете сообщения типа «Отсутствует операционная система», «Отсутствует Bootmgr» или ошибки, связанные с BCD, проблема уже находится на этапе работы загрузчика (Boot Manager / Boot Loader).

Некоторые типичные сообщения на этом этапе довольно ясно показывают, в чем заключается ситуация.:

• Boot Configuration Data (BCD) missing or corrupted
• Boot file or MBR corrupted
• Operating system missing
• Boot sector missing or corrupted
• Bootmgr missing or corrupted
• Unable to boot due to system hive missing or corrupted

На данном этапе наиболее эффективным решением будет загрузка с внешнего установочного носителя Windows. (Запись на USB-накопителе/DVD-диске, созданном с помощью инструмента Microsoft, или ISO-образ той же или более новой версии) и откройте командную строку, используя комбинацию клавиш Shift+F10 или через расширенные параметры восстановления.

Использование инструмента восстановления при запуске

В первую очередь следует попробовать утилиту восстановления при загрузке Windows.Потому что она автоматизирует множество проверок: проверяет целостность загрузочных файлов, пытается исправить BCD, восстанавливает поврежденные загрузочные сектора и генерирует собственный журнал выполненных действий.

Пользовательский сценарий очень прост. при загрузке с установочного носителя той же версии Windows, которая у вас установлена:

1. Загрузите компьютер с установочного USB/DVD-диска Windows и в начальном окне нажмите на Далее > Ремонт оборудования.
2. На экране выбора введите устранение неисправностей.
3. Доступ к Дополнительные параметры > Восстановление при запуске и пусть инструмент проанализирует систему.
4. После завершения процесса выключите устройство с помощью мастера и попробуйте запустить его в обычном режиме.

Все действия этого инструмента записываются в файл. SrtTrail.txt, расположенный в %windir%\System32\LogFiles\Srt\Srttrail.txtХотя это и не лог загрузки в стиле Ntbtlog.txtДа, полезно понимать, что именно система обнаружила и какие действия попыталась предпринять.

Восстановите MBR и загрузочный сектор с помощью BOOTREC.

Если средство восстановления при загрузке не решает проблему, следующим классическим шагом является использование соответствующего инструмента. BOOTREC (видеть руководство BOOTREC) Эта утилита, доступная из командной строки среды восстановления, позволяет перезаписать MBR, перестроить загрузочный сектор и восстановить базу данных BCD.

Основные команды для решения типичных проблем, связанных с MBR и загрузочным сектором. Они заключаются в следующем:

• Перепишите MBR (очень полезно, если другая система или сторонний инструмент перезаписали его):
  bootrec /fixmbr
• Восстановите загрузочный сектор системного раздела.:
  bootrec /fixboot

В некоторых сценариях (особенно в системах UEFI с EFI-разметкой в ​​FAT32) При запуске может появиться печально известное сообщение «Доступ запрещен». /fixbootВ таких случаях необходимо проверить, правильно ли системному разделу присвоена буква диска, а иногда пометить его как активный или вручную восстановить загрузочные файлы, скопировав их. bootmgr и содержание \EFI\Microsoft\Boot.

Исправление ошибок хранилища BCD

Когда BCD поврежден или указывает на несуществующие объектыВы увидите более конкретные ошибки, связанные с "Данные конфигурации загрузки". Здесь BOOTREC и BCDEDIT работают вместе (см. диагностика с помощью BCDEDIT).

Типичная процедура восстановления BCD с нуля. это:

1. Выполните поиск обнаруживаемых установок Windows:
   bootrec /scanos
2. Если после сканирования он по-прежнему не запускается, сделайте резервную копию BCD и пересоберите его:
   bcdedit /export C:\bcdbackup
attrib C:\boot\bcd -r -s -h
ren C:\boot\bcd bcd.old
bootrec /rebuildbcd
3. Когда вас спросят, хотите ли вы добавить найденную установку в список загрузки, ответьте «да».

В некоторых случаях может появиться сообщение об ошибке: «Запрошенное системное устройство не найдено». При попытке добавить установку вам нужно обратиться именно туда. diskpart что системный раздел правильно помечен, имеет присвоенную букву и не поврежден.

Замените файл Bootmgr.

Если после нескольких попыток ошибки указывают непосредственно на bootmgr поврежденыВы можете переименовать неисправную копию и создать новую, используя зарезервированный системный раздел или установочный носитель.

Общая идея заключается в том, чтобы оставить старый вариант. bootmgr сохранить и скопировать рабочий вариант. в раздел, где находится система:

1. Найдите системный зарезервированный раздел (обычно без буквы, в файловых системах FAT32 или NTFS, около 100 МБ в современных версиях Windows) и назначьте ему букву. diskpart если необходимо.
2. В этом разделе выведите список скрытых и системных файлов с помощью следующей команды:
   attrib -r -s -h
3. Сделайте то же самое на системном диске (например, C:чтобы увидеть bootmgr существующие.
4. Измените имя bootmgr поврежденный, например:
   ren C:\bootmgr bootmgr.old
5. Скопируйте bootmgr "Здоровый" диск от системного зарезервированного раздела до корневого каталога диска Windows.
6. Перезагрузите устройство и проверьте, запускается ли оно.

Восстановите поддерево системного реестра.

Когда ошибки указывают на невозможность загрузки системного реестра Если системный раздел реестра отсутствует или поврежден, проблема переходит из чисто связанной с загрузкой в ​​проблему реестра. В таких случаях обычно необходимо восстановить поддеревья реестра из действующей резервной копии (методы восстановления можно найти в документации). Улучшите работу реестра с помощью RegScanner.).

Из среды восстановления WinRE или с диска восстановления ERD. Вы можете скопировать содержимое C:\Windows\System32\config\RegBack a C:\Windows\System32\configперезапишите поврежденные файлы (системные, программные и т. д.). Если система по-прежнему не загружается, вам потребуется восстановить полную резервную копию системы, а затем восстановить только необходимые разделы реестра.

Фаза ядра: синие экраны, зацикливание и сбои после логотипа.

Если вы уже видите логотип Windows, даже если это вращающийся значок в виде «колеса» из точек,Но если внезапно появляется синий экран, система зависает или просто появляется черный экран, проблема, скорее всего, кроется в ядре или в драйверах, загруженных на этом этапе.

Некоторые типичные признаки сбоя на этом этапе хорошо известны.:

• Код остановки сразу после заставки (например, 0x00000C2, 0x0000007BИ т.д.).
• Ошибка INACCESSIBLE_BOOT_DEVICEс идентификатором остановки 0x7B, что указывает на проблемы с доступом к загрузочному диску.
• Вращающееся колесо с точками остается в режиме "занятой системы" неограниченное время.
• После появления логотипа Windows экран гаснет, никаких сообщений не отображается.

В таких ситуациях варианты восстановления предполагают начало с ограниченного режима. Затем следует провести диагностику с помощью таких инструментов, как Просмотр событий, журналы загрузки, дампы памяти и сам реестр.

Попробуйте безопасный режим и последнюю известную работоспособную конфигурацию.

Безопасный режим остается классикой, потому что он загружает только самый необходимый минимум. Таким образом, Windows запускается, но при этом игнорируется значительная часть сторонних драйверов и служб, которые могут вызывать проблему.

В расширенных параметрах загрузки можешь попробовать:

• Безопасный режим
• Безопасный режим с поддержкой сети
• Последняя известная успешная конфигурация (если доступно в вашей версии)

Если команде удастся добиться успеха в любом из этих вариантовОдно из первых рекомендуемых действий — открыть Просмотр событий а также просмотреть системные и прикладные журналы примерно в то время, когда появились симптомы, и скопировать соответствующие события для спокойного анализа.

Начало с чистого листа для выявления конфликтующих услуг и водителей.

Когда проблема указывает на сторонний сервис или контроллер (антивирусы, программы резервного копирования, специальные драйверы для накопителей и т. д.), очень полезно выполнить "чистую загрузку" с помощью этого инструмента. msconfig.

В системных настройках можно выбрать «Выборочный запуск». Постепенно отключайте некритичные службы, особенно те, которые не принадлежат Microsoft, пока не найдете ту, которая вызывает сбой при запуске. Как только вы ее найдете, вы сможете навсегда отключить ее и вернуться к «нормальному запуску».

Если проблема заключается в цифровой подписи драйверов (особенно в 64-разрядных системах с функцией Secure Boot или требованиями к цифровой подписи),Другой способ — начать с параметра «Отключить обязательное использование подписанных драйверов» и проанализировать, какой драйвер требует подписи или вызывает конфликт, следуя рекомендациям в статьях Microsoft, посвященных подобным проблемам.

Ошибка INACCESSIBLE_BOOT_DEVICE (STOP 0x7B)

Ошибка INACCESSIBLE_BOOT_DEVICE Это один из самых страшных объектов. потому что это означает, что Windows не может получить доступ к диску, с которого должна загружаться: некорректные драйверы хранилища, сторонние фильтры, изменения режима контроллера SATA/RAID в BIOS и т. д.

Более продвинутый метод устранения этой ошибки включает фильтрацию драйверов сторонних производителей в реестре. из среды восстановления:

1. Загрузите WinRE, используя ISO-образ той же или более новой версии Windows.
2. Откройте редактор реестра и загрузите системный раздел, присвоив ему временное имя, например. тест.
3. Перейти к ключу:
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class
4. Найти записи UpperFilters y LowerFilters которые относятся к драйверам, не разработанным компанией Microsoft.
5. Для каждого подозрительного водителя очистите содержимое соответствующего значения фильтра.
6. Найдите другие подобные случаи в улье, аккуратно внесите необходимые изменения и, закончив, выгрузите пчел из улья.
7. Перезагрузите систему в обычном режиме и проверьте, исчезла ли ошибка 0x7B.

Если проблема возникла сразу после установки обновлений WindowsВозможно, потребуется удалить ожидающие обновления пакеты или отменить действия по обновлению. DISMизменение значений в Реестре (например, в отношении услуги) TrustedInstallerи даже переименование файлов, например pending.xml en WinSxS чтобы разблокировать процесс.

Включить ведение журнала загрузки в Windows

На этом этапе в игру вступает главный герой этой статьи: архив. Ntbtlog.txtЭтот файл представляет собой классический журнал загрузки Windows; он записывает драйверы и компоненты, которые загружаются (или выходят из строя) во время запуска, что позволяет, например, определить, какой именно драйвер препятствует запуску системы.

Функция BootLog по умолчанию отключена.Но активировать его очень просто, и это можно сделать двумя основными способами: через boot.ini в более старых системах или с bcdedit В современных версиях, таких как Windows 10 и более поздние, очень полезно сочетать это с методами, которые... анализ с помощью BootTrace.

Включите BootLog в системах с файлом boot.ini (Windows XP и аналогичные).

На старых компьютерах файл конфигурации загрузки находится по адресу: boot.iniкоторый находится в корне диска, где установлена ​​Windows (обычно) C:) и помечен как скрытый системный файл.

Для редактирования необходимо сначала отобразить защищенные системные файлы. В параметрах папки найдите boot.ini Откройте его с помощью Блокнота. Там вы увидите строку, похожую на эту (хотя и с другими параметрами):

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=»Microsoft Windows XP Professional» /noexecute=optin /fastdetect

Для активации записи логов при загрузке просто добавьте модификатор. /BOOTLOG в конце этой строкиВ результате получается что-то вроде:

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=»Microsoft Windows XP Professional» /noexecute=optin /fastdetect /BOOTLOG

После сохранения файла система начнет создавать загрузочную запись при каждом запуске.Кроме того, в экстренных ситуациях ведение журнала можно включить в каждом отдельном случае через расширенное меню загрузки: для этого нужно нажать клавишу F8 непосредственно перед запуском Windows и выбрать пункт «Включить ведение журнала загрузки».

Сгенерированный файл всегда называется Ntbtlog.txt и он сохранен в папке Windows., обычно в C:\Windows, готово к открытию в Блокноте, чтобы проверить, какие драйверы загрузились правильно, а какие нет.

Включение и отключение BootLog с помощью BCDEDIT в Windows 10 и более поздних версиях.

В современных системах, использующих BCD (Windows Vista и более поздние версии, включая Windows 10)Управление конфигурацией загрузки больше не осуществляется с помощью boot.iniно с хранилищем данных конфигурации загрузки и инструментом bcdedit.

Чтобы включить запись логов загрузки на конкретной системе Вам необходимо знать идентификатор (ID) этого загрузчика в BCD. Его можно получить, выполнив следующую команду в командной строке с правами администратора:

bcdedit

В блоке «Загрузчик Windows» вы увидите строку с названием «Идентификатор». что может быть чем-то вроде {current} или другой GUID. Используя этот ID, вы можете активировать BootLog следующим образом:

bcdedit /set {ID} bootlog Yes

Чтобы отключить эту функцию, просто измените значение на «Нет».:

bcdedit /set {ID} bootlog No

После следующей перезагрузки, если ведение журнала включено, Windows создаст этот файл. Ntbtlog.txt по указанному маршруту со всей необходимой информацией о контроллерах и модулях, участвующих в запуске, что чрезвычайно полезно при диагностике непредвиденных неисправностей.

Интерпретация файла Ntbtlog.txt и других журналов загрузки.

Хотя на первый взгляд Ntbtlog.txt На первый взгляд это может выглядеть как простой список строк.Ключевым моментом является понимание того, какой шаблон мы ищем. В этом файле вы увидите записи, указывающие на то, что контроллер был успешно загружен или пропущен.

Главная задача — выявить драйверы, которые выходят из строя непосредственно перед сбоем или перезагрузкой....или те, которые явно не принадлежат Microsoft и могут вызывать конфликты (драйверы антивирусов, шифрование дисков, решения для резервного копирования и т. д.). Сочетание этой информации с событиями из журнала событий и, если имеются, дампами памяти может значительно сузить круг поиска проблемы.

Во многих случаях дампы памяти явно указывают на конкретный файл драйвера. (например, \Windows\System32\drivers\stcvsm.sys (отсутствует или поврежден). В подобных случаях обычно рекомендуются следующие действия:

• Проверьте, какие функции предоставляет контроллер и насколько они критичны для запуска.
• Если это некритичный сторонний драйвер, отключите его, загрузив системный раздел реестра из WinRE.
• Запустите средство проверки системных файлов (sfc) в автономном режиме, если есть подозрение на повреждение системных файлов.
• Если есть подозрение на широкомасштабное повреждение реестра или недавнюю установку множества драйверов/служб, переименуйте старые разделы (добавьте .old к именам в C:\Windows\System32\configи восстановить резервные копии RegBackзатем попытка обычного старта.

Иногда, особенно после крупного обновления Windows, при восстановлении возникает проблема. DISM Это взято из оригинальной версии изображения.Если ISO-образ, использованный для восстановления, не совсем точно соответствует установленной версии, DISM Возвращается ошибка 0x800f081f («Исходные файлы не найдены»). В таких случаях рекомендуется обратиться за помощью к... dism /get-wiminfo точная версия изображения (install.wim o install.esd) и найти ISO-образ, который действительно соответствует сборке системы, подлежащей ремонту.

Короче говоря, загрузочные регистры выглядят следующим образом: Ntbtlog.txt, файл Startup Repair SrtTrail, дампы памяти и журналы DISM y SFC Они образуют информационную «экосистему». Этот инструмент позволяет восстановить все процессы, происходящие во время каждой загрузки: что загружается, что пропускается, что повреждается и какие изменения (драйверы, обновления, антивирусное программное обеспечение или различные утилиты) нарушили процесс. Сочетание этих инструментов с методами восстановления MBR, BCD, Bootmgr, RegBack и чистой загрузки значительно повышает шансы на восстановление системы Windows, которая не загружается без полной переустановки.

Теме статьи:

Boot Trace в Windows 11: полное руководство по анализу процессов загрузки

Исаак

Страстный писатель о мире байтов и технологий в целом. Мне нравится делиться своими знаниями в письменной форме, и именно этим я и займусь в этом блоге: покажу вам все самое интересное о гаджетах, программном обеспечении, оборудовании, технологических тенденциях и многом другом. Моя цель — помочь вам ориентироваться в цифровом мире простым и интересным способом.