Анализирање датотека дневника покретања система, као што је Ntbtlog.txt, ради решавања проблема са неуспехима при покретању система Windows

Када Windows одбија да се покрене и заглави се на црном екрану, петљи поновног покретања или плавом екрануНормална реакција је паника. Али поред типичних аутоматизованих алата, постоји веома моћан ресурс за разумевање шта се дешава: датотеке дневника покретања или Дневници покретањапосебно добро познати Ntbtlog.txt.

Ови евиденције детаљно описују који се драјвери и компоненте учитавају (или не учитавају) током покретања система, и у комбинацији са другим услужним програмима као што је поправка при покретању, BOOTREC, DISM или сам Windows регистар, омогућавају вам да нападнете корен многих проблема са покретањем, како на рачунарима са класичним BIOS-ом, тако и на модерним системима са UEFI-јем (процес покретања у UEFI-ју).

Како функционише покретање система Windows и у којој фази је квар?

Пре него што почнете са прегледом Ntbtlog.txt да налепите команде у конзолуВажно је разумети како је организован процес покретања система Windows и које компоненте се активирају у свакој фази. Ово вам омогућава да утврдите да ли се грешка јавља веома рано (фирмвер/BIOS), у менаџеру покретања, у програму за учитавање оперативног система или када се активира језгро система Windows.

Генерално говорећи, циклус покретања модерног Windows система је подељен на четири главне фазе. Ово се јавља и на старијим BIOS машинама и на UEFI фирмвер системима, иако се укључене датотеке и путање мало мењају:

• Фаза 1 – Пре покретањаФирмвер (BIOS или UEFI) обавља POST (Power-On Self Test), иницијализује основни хардвер и проналази важећи системски диск. У BIOS машинама, MBR/PBR се чита; у UEFI-ју, фирмвер се учитава и тражи се EFI апликација за управљање покретањем Windows-а.
• Фаза 2 – Windows Boot Manager: Овде на сцену ступа менаџер покретања, који тражи конфигурацију покретања и одлучује који систем ће покренути.
• Фаза 3 – Програм за учитавање Windows ОС-асистемски пуњач (winload.exe o winload.efi) учитава језгро и драјвере означене за учитавање при покретању система.
• Фаза 4 – Језгро система Windows NT: језгро (ntoskrnl.exe) преузима контролу, монтира системски регистарски саћ, учитава драјвере BOOT_START и системска сесија почиње (Smss.exe), што заузврат покреће остале сервисе и контролере.

Свака од ових фаза има прилично карактеристичне симптоме и поруке о грешкама.од типичног „Недостаје Bootmgr“ до грешака попут INACCESSIBLE_BOOT_DEVICE или плави екрани одмах након Windows логотипа, и стога се дијагностикују и поправљају различитим алатима.

Циљ при дијагностиковању почетног квара је да се „ухвати“ у којој тачки овог ланца се процес прекидаОдатле можемо одлучити да ли има смисла погледати датотеку дневника покретања, SrtTrail.txt из поправке покретања, изводе меморије, регистар или се фокусирати на кодове за покретање (MBR, BCD, Bootmgr, итд.).

Кварови у BIOS-у или фирмверу: како их открити

Ако рачунар чак ни не приказује Windows лого Ако се заглави на црном екрану без јасних порука или се чак ни не укључи како треба, проблем је обично у самом фирмверу или у основном хардверу.

Постоји неколико врло једноставних провера да би се утврдило да ли је систем прошао BIOS фазу или је заглављено тамо:

1. Искључите све спољне периферне уређаје (USB, екстерни чврсти дискови, штампачи…). Понекад фирмвер покуша да се покрене са преносивог уређаја и заглави се.
2. Посматрајте ЛЕД индикатор активности чврстог дискаАко уопште не трепери током укључивања, процес можда не достиже тачку у којој се чита сектор за покретање.
3. Покушајте да притиснете тастер Num Lock.Ако се индикатор на тастатури не промени, то обично указује на то да је систем потпуно замрзнут на нивоу фирмвера или матичне плоче.

Када се замрзавање догоди у овој раној фази, обично је последица квара хардвера. (меморија, матична плоча, напајање, неисправан чврсти диск...) а не толико у случају проблема са датотеком за покретање система, тако да је у тим случајевима анализа Ntbtlog.txt а сличне ствари се чак ни не генеришу.

Грешке у менаџеру покретања и програму за учитавање система (MBR, BCD, Bootmgr)

Ако се машина укључи, појављује се лого произвођача, а затим видите црни екран са трепћућим курсором Ако добијате поруке као што су „Недостаје оперативни систем“, „Недостаје Bootmgr“ или грешке везане за BCD, проблем је већ у фази менаџера покретања (Boot Manager / Boot Loader).

Неке типичне поруке из ове фазе сасвим јасно показују каква је ситуација.:

• Boot Configuration Data (BCD) missing or corrupted
• Boot file or MBR corrupted
• Operating system missing
• Boot sector missing or corrupted
• Bootmgr missing or corrupted
• Unable to boot due to system hive missing or corrupted

У овом тренутку, најефикаснији начин деловања је покретање система са екстерног инсталационог медија за Windows. (USB/DVD креиран помоћу Microsoft алата или ISO исте или новије верзије) и отворите командну линију помоћу комбинације тастера Shift+F10 или преко напредних опција опоравка.

Коришћење алатке за поправку при покретању

Услужни програм за поправку покретања система Windows је прва опција коју би требало да испробате.јер аутоматизује многе провере: проверава интегритет датотека за покретање система, покушава да поправи BCD, поправља оштећене секторе за покретање система и генерише сопствени дневник онога што је урадио.

Кориснички ток је веома једноставан. када покрећете систем са инсталационог медија исте верзије оперативног система Windows коју сте инсталирали:

1. Покрените рачунар са инсталационог USB/DVD-а за Windows и у почетном прозору кликните на Следеће > Поправка опреме.
2. На екрану за избор унесите Решавање проблема.
3. Приступ Напредне опције > Поправка при покретању и пустите алат да анализира систем.
4. Када се заврши, искључите рачунар помоћу самог чаробњака и покушајте да га покренете нормално.

Све што овај алат ради је забележено у датотеци SrtTrail.txt, који се налази у %windir%\System32\LogFiles\Srt\Srttrail.txtИако није дневник покретања система у стилу Ntbtlog.txtДа, корисно је разумети шта је открио и које је акције покушао да примени.

Поправите MBR и boot сектор помоћу BOOTREC-а

Ако поправка при покретању не реши проблем, следећи класични корак је коришћење алата BOOTREC (види Водич за BOOTREC) Из командне линије окружења за опоравак. Овај услужни програм вам омогућава да препишете MBR, поново изградите сектор за покретање система и регенеришете BCD базу података.

Основне команде за решавање типичних проблема са MBR-ом и boot сектором су:

• Препишите MBR (веома корисно ако га је други систем или алат треће стране преписао):
  bootrec /fixmbr
• Поправите сектор за покретање система системске партиције:
  bootrec /fixboot

У неким сценаријима (посебно у UEFI системима са EFI партиционисањем у FAT32) Страшна порука „Приступ одбијен“ може се појавити приликом покретања /fixbootУ тим случајевима, потребно је да проверите да ли је системској партицији правилно додељено слово диска, а понекад је означите као активну или ручно поправите датотеке за покретање тако што ћете их копирати. bootmgr и садржај \EFI\Microsoft\Boot.

Исправите грешке BCD складишта

Када је BCD корумпиран или указује на непостојеће објектеВидећете конкретније грешке у вези са „Подацима о конфигурацији покретања“. Овде BOOTREC и BCDEDIT раде заједно (видети дијагноза помоћу BCDEDIT-а).

Типичан поступак за регенерацију BCD-а од нуле да ли је ово:

1. Скенирајте за детектабилне Windows инсталације:
   bootrec /scanos
2. Ако се и даље не покрене након скенирања, направите резервну копију BCD-а и поново га изградите:
   bcdedit /export C:\bcdbackup
attrib C:\boot\bcd -r -s -h
ren C:\boot\bcd bcd.old
bootrec /rebuildbcd
3. Када вас питају да ли желите да додате пронађену инсталацију на листу за покретање, одговорите са да.

У неким случајевима ће се појавити порука о грешци која каже „Тражени системски уређај није пронађен“. Када покушавате да додате инсталацију; ту треба да проверите са diskpart да је системска партиција правилно означена, да јој је додељено слово и да није оштећена.

Замените датотеку Bootmgr

Ако након неколико покушаја грешке директно указују на bootmgr оштећенМожете да преименујете неисправну копију и поставите нову са системски резервисане партиције или са инсталационог медија.

Генерална идеја је да се остави стари. bootmgr безбедно и копирајте функционалну верзију на партицију на којој се систем налази:

1. Идентификујте системски резервисану партицију (обично без слова, у FAT32 или NTFS формату, око 100 MB у модерном Windows-у) и доделите јој слово са diskpart ако је потребно.
2. У тој партицији, наведите скривене и системске датотеке са:
   attrib -r -s -h
3. Урадите исто на системском диску (на пример, C:) да видим bootmgr постојећих.
4. Промените име bootmgr оштећено, на пример:
   ren C:\bootmgr bootmgr.old
5. Копирајте bootmgr „здраво“ са системски резервисане партиције на корен Windows диска.
6. Поново покрените и проверите да ли се покреће.

Вратите подстабло системског регистра

Када грешке указују на то да системски саћ не може да се учита („недостаје или је системски саће оштећено“), проблем се претвара из проблема који је искључиво повезан са покретањем система у проблем са регистром. У овим случајевима је обично потребно вратити подстабла регистра из важеће резервне копије (можете видети технике за Побољшајте регистар помоћу RegScanner-а).

Из WinRE окружења за опоравак или ERD диска за поправку Можете копирати садржај C:\Windows\System32\config\RegBack a C:\Windows\System32\configпреписивање оштећених датотека (СИСТЕМ, СОФТВЕР, итд.). Ако се и даље не покреће, мораћете да вратите потпуну резервну копију система, а затим вратите само неопходне саће.

Фаза језгра: плави екрани, петље и падови након логотипа

Ако већ видите Windows лого, чак и икону окретајућег „точка“ са тачкамаАли ако се изненада појави плави екран, замрзне се или се једноставно појави црни екран, проблем је највероватније у фази језгра или у драјверима који су учитани у тој фази.

Неки типични симптоми неуспеха у овој фази су добро познати:

• Зауставите код одмах након почетног екрана (на пример) 0x00000C2, 0x0000007B, Итд).
• Грешка од INACCESSIBLE_BOOT_DEVICE, са идентификатором заустављања 0x7B, што указује на проблеме са приступом диску за покретање.
• Ротирајући тачкасти точак остаје неограничено у „заузетом систему“.
• Екран постаје црн након што се појави Windows лого, без икаквих порука.

У овим ситуацијама, опције опоравка се заснивају на започињању на ограничен начин а затим дијагностикујте помоћу алата као што су Прегледач догађаја, дневници покретања, испитивања меморије и сам регистар.

Пробајте безбедни режим и последњу познату исправну конфигурацију

Безбедни режим остаје класик јер учитава само најнужнији минимум. тако да се Windows покрене, изостављајући велики део драјвера и услуга трећих страна које би могле да узрокују проблем.

Из Напредних опција покретања Можете покушати:

• Безбедан режим
• Безбедни режим са умрежавања
• Последња позната успешна конфигурација (ако је доступно у вашој верзији)

Ако тим успе да се покрене у било којој од ових варијацијаЈедна од првих ствари које се препоручују јесте отварање Приказивач догађаја и прегледајте системске и апликацијске логове отприлике у време када су се симптоми појавили, копирајући релевантне догађаје за мирну анализу.

Чист почетак за проналажење конфликтних сервиса и драјвера

Када проблем указује на услугу или контролер треће стране (антивирус, софтвер за прављење резервних копија, посебни драјвери за складиштење података итд.), веома је корисно извршити „чисто покретање“ помоћу алата msconfig.

У подешавањима система можете изабрати „Селективно покретање“ и постепено онемогућавајте некритичне сервисе, посебно оне који нису од Мајкрософта, док не пронађете ону која изазива грешку при покретању. Када је пронађете, можете је трајно онемогућити и вратити се на „нормално покретање“.

Ако проблем лежи у потписивању драјвера (посебно у x64 системима са захтевима за Secure Boot или потписом)Други начин је да почнете са опцијом „Онемогући обавезну употребу потписаних драјвера“ и анализирате који драјвер захтева потпис или изазива сукоб, пратећи смернице у специфичним чланцима компаније Microsoft о овој врсти проблема.

Грешка INACCESSIBLE_BOOT_DEVICE (STOP 0x7B)

Грешка INACCESSIBLE_BOOT_DEVICE То је један од најстрашнијих јер то имплицира да Windows не може да приступи диску са ког би требало да се покрене: неадекватни драјвери за складиштење података, филтери трећих страна, промене у режиму SATA/RAID контролера у BIOS-у итд.

Напредна метода за решавање ове грешке укључује филтрирање драјвера трећих страна у регистру из окружења за опоравак:

1. Покрените WinRE користећи ISO исту верзију Windows-а или новију.
2. Отворите уређивач регистра и учитајте системски саћ, дајући му привремено име, на пример тест.
3. Идите на кључ:
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class
4. Пронађи уносе УпперФилтерс y ЛоверФилтерс који се односе на драјвере који нису од компаније Microsoft.
5. За сваки сумњиви драјвер, обришите садржај одговарајуће вредности филтера.
6. Потражите друге сличне појаве у кошници, пажљиво их модификујте и истоварите кошницу када завршите.
7. Поново покрените систем у нормалном режиму и проверите да ли је грешка 0x7B нестала.

Ако се проблем појавио одмах након инсталирања ажурирања за WindowsМожда ће бити потребно уклонити пакете на чекању или вратити акције ажурирања помоћу DISM, промена вредности у Регистру (на пример, услуга TrustedInstaller) и чак преименовање датотека као што је pending.xml en WinSxS да се процес деблокира.

Омогућите евидентирање покретања у систему Windows

У овом тренутку, на сцену ступа протагониста овог чланка: архива Ntbtlog.txtОва датотека је класични дневник покретања система Windows; она бележи драјвере и компоненте које се учитавају (или не успевају) током покретања, што вам омогућава да откријете, на пример, који одређени драјвер спречава покретање система.

BootLog није подразумевано омогућенАли активирање је веома једноставно и можете то учинити на два главна начина: путем boot.ini у старијим системима или са bcdedit У модерним верзијама као што је Windows 10 и новији, веома је корисно комбиновати га са техникама за анализирајте помоћу BootTrace-а.

Омогући BootLog на системима заснованим на boot.ini (Windows XP и слични)

На старијим рачунарима, датотека за конфигурацију покретања је boot.ini, који се налази у корену диска на којем је инсталиран Windows (обично C:) и означена је као скривена и системска датотека.

Да бисте га изменили, прво морате да прикажете заштићене системске датотеке. Из опција фасцикле пронађите boot.ini и отворите га помоћу Notepad-а. Тамо ћете видети ред сличан овом (иако са другачијим параметрима):

вишеструки(0)диск(0)рдик(0)партиција(1)\ВИНДОУС=»Мајкрософт Виндоус КСП Профессионал» /ноекецуте=оптин /фастдетект

Да бисте активирали евидентирање покретања, једноставно додајте модификатор /BOOTLOG на крају те линијерезултира нечим попут:

вишеструки(0)диск(0)рдик(0)партиција(1)\ВИНДОУС=»Мајкрософт Виндоус КСП Профессионал» /ноекецуте=оптин /фастдетецт /БООТЛОГ

Када се датотека сачува, систем ће почети да генерише запис за покретање при сваком покретању.Поред тога, у хитним ситуацијама, евидентирање се може омогућити од случаја до случаја из напредног менија за покретање: притиском на F8 непосредно пре покретања Windows-а и избором опције „Омогући евидентирање покретања“.

Генерисана датотека се увек позива Ntbtlog.txt и сачуван је у фолдеру Windows, обично у C:\Windows, спреман за отварање помоћу програма Notepad и проверу који су се драјвери исправно учитали, а који нису.

Омогућите и онемогућите BootLog помоћу BCDEDIT-а у оперативном систему Windows 10 и новијим верзијама

У модерним системима који користе BCD (Windows Vista и новији, укључујући Windows 10)Конфигурација покретања се више не управља помоћу boot.iniали са складиштем података за конфигурацију покретања и алатом bcdedit.

Да бисте омогућили евидентирање покретања на одређеном систему Потребно је да знате идентификатор (ID) тог учитавача унутар BCD-а. Ово се добија покретањем следеће команде у командној линији са администраторским привилегијама:

bcdedit

У блоку „Windows Boot Loader“ видећете линију под називом „Identifier“ што би могло бити нешто попут {current} или други GUID. Користећи тај ID, можете активирати BootLog овако:

bcdedit /set {ID} bootlog Yes

Да бисте га деактивирали, једноставно промените вредност на „Не“.:

bcdedit /set {ID} bootlog No

Након следећег поновног покретања, ако је евидентирање омогућено, Windows ће генерисати датотеку. Ntbtlog.txt на назначеној рути са свим потребним информацијама о контролерима и модулима који су укључени у покретање, што је изузетно корисно у дијагностиковању хировитих кварова.

Тумачење датотеке Ntbtlog.txt и других логова покретања система

Иако на први поглед Ntbtlog.txt Може изгледати као једноставна листа линијаКључно је разумети који образац тражимо. У овој датотеци ћете видети уносе који указују да је контролер успешно учитан или прескочен.

Трик је у проналажењу драјвера који откажу непосредно пре него што дође до пада система или поновног покретања система....или оне које очигледно не припадају Мајкрософту и које би могле да изазивају сукобе (антивирусни драјвери, шифровање диска, решења за резервне копије итд.). Комбиновање ових информација са догађајима Прегледача догађаја и, ако су доступни, меморијским дамповима, може знатно сузити проблем.

У многим случајевима, меморијски дампови експлицитно указују на одређену датотеку драјвера. (на пример, \Windows\System32\drivers\stcvsm.sys (недостаје или је оштећен). Опште препоруке у овој врсти случаја су:

• Прегледајте које функционалности тај контролер пружа и да ли је то критично за покретање.
• Ако је у питању непотребан драјвер треће стране, онемогућите га учитавањем системског саћа у регистру из WinRE-а.
• Покрените проверу системских датотека (sfc) у офлајн режиму ако се сумња на оштећење системских датотека.
• Ако се сумња на широко распрострањено оштећење регистра или недавну инсталацију више драјвера/сервиса, преименујте старе саће (додавањем .old до имена у C:\Windows\System32\configи вратите резервне копије RegBackзатим покушај нормалног покретања.

Понекад, посебно након великог ажурирања система Windows, проблем се јавља приликом поправке са DISM Долази из оригиналне верзије сликеАко ISO датотека која се користи за рестаурацију није у потпуности иста као инсталирана верзија, DISM Враћа грешку 0x800f081f („Изворне датотеке нису пронађене“). У тим случајевима, препоручљиво је проверити са dism /get-wiminfo тачна верзија слике (install.wim o install.esd) и пронађите ISO датотеку која заиста одговара верзији система коју треба поправити.

Укратко, регистри за покретање система као што су Ntbtlog.txt, траг за поправку покретања, дампови меморије и логови DISM y SFC Они чине информациони „екосистем“ Овај алат вам омогућава да реконструишете шта се дешава током сваког покретања: шта се учитава, шта се прескаче, шта се оштећује и које промене (драјвери, ажурирања, антивирусни софтвер или разни услужни програми) су прекинуле процес. Комбиновањем ових алата са MBR, BCD, Bootmgr, RegBack и техникама поправке чистог покретања, шансе за опоравак Windows система који се не покреће без потпуне поновне инсталације су много веће него што се у почетку чини.

Повезани чланак:

Праћење покретања у систему Windows 11: Комплетан водич за анализу процеса покретања

Исак

Страствени писац о свету бајтова и технологије уопште. Волим да делим своје знање кроз писање, и то је оно што ћу радити на овом блогу, показивати вам све најзанимљивије ствари о гаџетима, софтверу, хардверу, технолошким трендовима и још много тога. Мој циљ је да вам помогнем да се крећете у дигиталном свету на једноставан и забаван начин.