ERD Commander или что делать в его отсутствие?, Упала система? Профессиональное восстановление. Опции

[Decker]

Итак, здесь я немного расскажу о том, что делать в случае если система упала ... не загружается ни с того ни с сего, уходит в постоянный reboot, выдает BSOD и т.п. Сразу оговоримся что "статья" не рассчитана на новичков, а скорее на людей для которых разнообразные LiveCD не миф, а обыденность, кто вполне себе представляет зачем нужна служба восстановления системы и контрольные точки (которая кстати по-умолчанию зачем-то выключена придурками, которые штампуют сборки типа ZverCD и им подобные ... скорее всего потому что эти сборки рассчитаны на людей переустанавливающих систему по 365 раз в году), имеет небольшое представление о содержимом папки System Volume Information, умеющим вручную восстановить оттуда поврежденные кусты реестра, для тех кто использует chkdsk mhdd и victoria в повседневной работе, кто может подключить куст реестра с поврежденной системы и исправить там ошибки + убрать мусор / вирусы из различных мест автозагрузки, в то время когда система вообще не загружается и т.п. Вообщем наверное для всех тех, кто может поднять винду из практически любого состояния

Но сначала об одном замечательном инструменте, который значительно упрощает все эти операции (а потом о том что делать если этого самого замечательного инструмента под рукой нет ) Все нижеследующее скопиэндпасчено из шапки отсюда.

Winternals (Microsoft) ERD Commander

ERD Commander 2005 (Emergency Recovery Disk Commander) - это загрузочный диск для восстановления системы, являющийся частью пакета Winternals Administrator's Pak [?]. ERD Commander позволяет использовать мощную консоль восстановления систем Windows NT4/2000/XP/2003 при загрузке с набора дискет, CD-ROM или напрямую с локального жесткого диска. Для всех разделов HDD обеспечивается полный доступ на чтение и запись. Этот продукт имеет гораздо больше возможностей, чем встроенная консоль восстановления Windows, открывая полный доступ ко всем разделам NTFS, FAT и FAT32 на поврежденных дисках. Вы можете редактировать реестр, изменять утерянные пароли администраторов, исправлять ошибки защиты и т.д. ERD Commander поддерживает отказоустойчивые дисковые массивы и разделы с чередованием HDD дисков (stripe sets), позволяет отключать нестабильно работающие драйверы и службы и может работать в пакетном режиме. С помощью ERD Commander вы можете устранить серьезные неполадки, которые обычно исправляются только путем полной переустановки операционной системы. Диск выполнен на базе модифицированной версии WinPE 1.2 (Windows 2003). Набор инструментов входящих в Winternals ERD Commander 2005 включает стандартную консоль администрирования Windows ("Просмотр событий", "Управление дисками", "Сведения о системе" и т.п.), редактор реестра, проводник, блокнот, менеджер загружаемых сервисов и драйверов, редактор списка элементов автозагрузки, сетевые утилиты, интернет браузер (Firefox), мастер поиска решений, а также целый ряд фирменных системных утилит от Winternals:

Remote Recover поможет восстановить файловую систему на компьютерах с поврежденной системой Windows NT4/2000/XP/2003, используя соединение по TCP/IP. Remote Recover обеспечивает прозрачный доступ к разделам жесткого диска любого компьютера в вашей сети, включая разделы NTFS, FAT и FAT32, а также диски, еще не разбитые на разделы и неформатированные диски.

Crash Analyzer Wizard помогает определить наиболее вероятные причины отказа системы путем анализа дампов памяти, которые создаются операционной системой при критических сбоях. Для работы с утилитой потребуется установить Microsoft Debugging Tools for Windows и Microsoft Symbol Package (retail сборку для используемой версии Windows).

Disk Commander предназначен для восстановления файлов и исправления ошибок в таблицах разделов и загрузочных секторах. Кроме восстановления поврежденной файловой системы, Disk Commander можно использовать и для воскрешения стертых файлов, а также для чтения файлов с поврежденных (или даже удаленных) логических дисков.

Disk Wipe позволяет надежно удалить информацию с диска без возможности восстановления.

FileRestore производит поиск и восстановление удаленных файлов.

Hotfix Uninstall поможет удалить проблемное обновление или сервис-пак, вызвавшее отказ системы.

Locksmith позволяет переустановить забытый или утерянный пароль администратора на системах Windows NT4/2000/XP/2003. Выводит список всех учетных записей – вы просто выбираете нужную и вводите новый пароль. Измененные атрибуты учетной записи сохраняются в специальном файле, а дополнительные настройки безопасности системы остаются без изменений.

System Compare позволяет сравнить конфигурацию системных файлов, служб и драйверов поврежденной системы с аналогичной исправной системой или файлами установочного дистрибутива для выявления и устранения причин вызвавших неполадки.

System File Repair выполняет проверку и восстановление критичных для загрузки ОС файлов.

System Restore позволяет получить доступ к точкам восстановления созданным Windows XP и откатить систему к более благополучной конфигурации.

з.ы. Ссылки на все перечисленные здесь пакеты вы сможете найти на страничке Ru-Board'а.

[Decker]

Ну а теперь вообщем-то история одной упавшей системы, с кучей установленного софта (клиент-банки, и т.п.), переустанавливать которую было ну совсем нельзя. Маленькая преамбула: в один прекрасный момент система ни с того ни с сего перестала загружаться ... как говорится, ничто не предвещало беды, по окончании рабочего дня сотрудники выключили компьютер, а на следующее утро увидели быстро пропадающий синий экран смерти и вечную перезагрузку Собственно последовательно что было сделано (зачем все это описывается - мало ли у кого аналогичная ситуация будет, данную последовательность действий можно использовать как некую рекомендацию в подобных ситуациях):

1. Неплохо было бы посмотреть что за BSOD ... при отключении автоматической перезагрузке при отказе системы увидели STOP с UNMOUNTABLE_BOOT_VOLUME ... с чего бы это ... HDD на месте, ничего не менялось, видимо какие-то ошибки ФС.
2. Грузиться с WinPE в таких случаях, чтобы первоначально глянуть на общее состояние системы как-то долго. Первое что нужно сделать в таких случаях это chkdsk /f поврежденного диска, а проще всего это сделать загрузившись с Hiren's Boot CD и выбрав например Volcov Commander. Автоматически подгрузится NTFS DOS Pro, естественно выбираем режим ReadWrite и на вопрос о запуске CHKDSK от WinInternals отвечаем утвердительно. Умный CHKDSK для DOS замечательно просканировал нам ФС и нашел кучу ошибок, причем часть из них в системных файлах kernel32.dll и некоторых других.
3. Попытка загрузиться после проверки CHKDSK к успеху не привела. Ну естественно ... kernel32 и много чего еще было повреждено. Система незагружаема не в безопасном режиме, ни в любом другом. Резонный вопрос - а что привело к подобному "коллапсу" ФС?
4. Запускаем MHDD / Victoria ... тоже входит в состав Hiren's Boot CD ... оппа ... пара невосстановимых Error'ов в самом начале. Дальше можно не проверять. HDD начинает сыпаться. Едем ... покупаем новый винт ... IDE'шные кстати очень сложно сейчас найти. В наличии мало где есть.
5. Еще раз делаем CHKDSK (т.к. за время попыток загрузки ФС опять успела "нахватать" ошибок) и запускаем клонирование диска с помощью Acronis True Image или Norton Ghost. Опять же обе эти вещи есть на Hirens'е.
6. Все. Данные на новом HDD. Ура. Старый можно выкидывать в помойку, теперь есть время вплотную поразмыслить о том как восстановить поврежденные системные файлы.
7. Неплохо было бы сделать sfc /scannow ... беда в том что мы можем сделать это только из под рабочей системы, а она у нас небутабельна. Ничего, берем Alkid Live CD, в него уже "встроен" ERD Commander. Ничего-то ничего, но ничего не получается. На данной конфигурации системы все версии Alkid'а падали в BSOD с ошибкой в каком-то *.sys ...
8. Черт с ним ... пробуем загрузиться из под WinPE и скопировать *.exe, *.dll из dllcache в %windir%\system32 ... та же "шляпа". Система не грузится.
9. На всякий случай вытаскиваем из System Volume Information и помещаем в C:\Windows\System32\config\ файлы DEFAULT, SAM,
SECURITY, SOFTWARE и SYSTEM от последней контрольной точке. По-крайней мере теперь мы уверены что все ветки реестра в адекватном состоянии. Система все равно не грузится. Проблема однозначно в системных файлах. Какие-то коцанные. Возможности воспользоваться System File Repair от ERD тоже нет.
10. Берем диск с WinXP, грузимся с него, может оно найдет копию Windows подлежающую восстановлению? Ну начальные параметры потом можно настроить вручную ... главное что реестр и установленный софт сохранится. Не находит. А почему? А потому что диск у нас был с Professional, а установлена извините Home. Берем диск с Home Edition ... указываем ему копию для восстановления. Тыкаем R. Программа установки копирует файлы ... 15 ... 14 ... 13 ... ... 1 ... перезагрузка.
11. Теперь "финт ушами" ... нужные системные файлы скопированы. Теперь если дать ОС грузиться дальше запустится мини-установка и т.д. и т.п., но мы идем другим путем. Вместо перезагрузки грузимся с LiveCD, еще раз выполняем пункт 9. Теперь мы имеем систему с корректными системными файлами и нужными нам кустами реестра (!). О том как из под LiveCD копировать кусты и вообще откуда что берется - описано где-то на этом форуме, если не забуду то обязательно вставлю сюда ссылку. Т.о. мы получили "ручной аналог System File Repair" от ERD. Достаточно было дать установщику скопировать системные файлы, после чего можно развертывать контрольную точку (мы сделали это "хитрым" способом, т.к. опять же возможности воспользоваться System Restore у нас не было).
12. Перезагружаемся ... вуууаля ... все грузится, но изображение 16-ти цветное в каком-то чудном разрешении. Поменять его в свойствах экрана нельзя. Хотя драйвера вроде все стоят. Почему же, почему же ... виноват же в этом кто же? А виноват в этом драйвер NVidia некоторые из библиотек которого просто побились. Переустанавливаем его и получаем работающую систему. Возможно какие-то приложения все же откажутся запускаться и неудивительно после краха винта, но ... в результате мы получили ту же самую систему, с теми же самыми пользовательскими настройками. Ни интернет, ни почту, ни клиент-банки, ни Астрал и т.п. софт нам переустанавливать не пришлось. С системой работало несколько пользователей, все их настройки были сохранены, естественно вплоть до картинки на рабочем столе. Явных глюков замечено не было. Все счастливы, все довольны ... на все про все включая поиски нового HDD по городу ушло около 2-2,5 часов. Представьте сколько времени и нервов было бы затрачено, если переустановить с нуля винду, дрова, все приложения, подключить принтеры, сканеры, фискальные регистраторы, настроить интернет, почту, 1С, и прочее?

Ну вообщем-то как-то так Чему мы научились из этого примера ... методике восстановления системных файлов и методике вытаскивания веток реестра из System Volume Information. Плюс поняли что "Восстановление системы", которое по дефолту отключено в Zver'ях и подобных "есть очень полезный штук". Т.к. если навернется один из кустов реестра вследствие сбоя ФС, то без контрольных точек взять его будет просто неоткуда.