Проблемы при проверке системных файлов в Windows 10

[9285]

Описывать все подробности достаточно долго, и чтобы не перегружать напишу "кратко".
Имеется ноутбук на котором были проблемы с HDD (сбойные сектора в области системного раздела). Была сделана посекторка, диск приведён в чувства и на него всё записано назад с посекторки (если что - на новом диске всё аналогично). Конечно же, часть файлов повреждена и изначально винда циклично загружалась в режиме автоматического восстановления, который ни к чему не приводил.
Запустил проверку системных файлов - начинается и делается, но прерывается на сообщении
"Защита ресурсов не может выполнить запрошенную операцию".
С правами доступа вроде всё нормально. И ещё понятно такое в случае запуска из самой "системы" (*), но аналогичное происходит и при оффлайновой проверке в случае загрузки с дистрибутивной флэшки.
У sfc есть опция создания лог-файла - вопрос в том как понять что она сообщает и есть ли смысл с ним разбираться.г
(*) с помощью ручных экзекуций по восстановлению отдельных системных файловв, постепенно довёл до того что система стала загружаться - но делать такое в отношении десятков файлов не очень удобно. Поэтому хотелось бы разобраться с sfc.

[9285]

Хронология реанимации

Как писал выше, изначально проблема была в цикличном запуске восстановления системы, который ни к чему не приводил.
После прописи необходимого для загрузки с помощью bcdboot система начала загружаться но появлялся голубой экран с сообщением об ошибке и упоминание ntoskrnl.exe
Глянул список файлов на который попали сбойные сектора - и на него попало. вот тут то и начались попытки восстановления системных файлов, которые оказались безрезультатныи. Подмена сабжевого файла на взятый из другой винды (другой релиз) изменил код ошибки, но не изменил ситуацию.
И тут вспомнил про метод, использовавшийся в ХР - удалил файл и дал возможность системе самой "выплыть" - и она "всплыла".
Загрузка пошла дальше, доходило до входа пользователя а далее опять голубой экран со смайликом и сообщение типа "system process died".

Далее решил поступить как ранее и удалил некоторые битые файлы из папок System32 и SysWoW64. Голубой экран исчез , появился чёрный с курсором мыши! Заработали три волшебные клавиши и возможность выбрать диспетчер задач - не завелось, но зато получилось перезагрузить систему. После перезагрузки уже можно было вызвать диспетчер задач, он запускался и в нём уже запуск explorer.exe - Yes! Появился рабочий стол. Но вдавались различные ошибки и не работала кнопка Пуск.

В числе ошибок было и та что отсутствует файл msvcp_win.dll - извлёк из посекторки и записал в нужную папку, запустилось нужная мне программа.
Далее заметил в длинном списке повреждённых файлов uxtheme.dll - и по памяти вспомнил что библиотек из нужных - записал её, программа перестала запускаться а в журнал системы появилась ошибка и упоминание uxtheme.dll, что вполне понятно и обьяснимо.

Очередная попытка проверки системных файлов и тот же результат.
Стало понятно что проблема в системном хранилище и началась попытка восстановления его с помощью DISM - проверка сообщила о повреждении хранилища, и это было не особо удивительного, т.к. в списке поврежённых были и файлы из WinSxS.

И вот где то на этом этапе решил проверить идентичные файлы в папке (той же System32) и WinSxS. И вот тут то выяснилось что файлы то идентичны - то есть шаблон записанный вместо сбойного сектора присутствовал в том же месте. Поверить в такое совпадение я не мог и решил посмотреть как же это выглядит внутри самой ФС. И вот тут то был шок, но вполне ожидаемый. Запись в MFT одна и в ней куча хардлинков.
получается, что если сам файл повредился, то он повреждается везде - в том числе и в хранилище.
Вспомнилась уже похороненная "старушкка" ХР и её папка DLL cache, которая в подобных ситуациях самовосстанавливала системные файлы. Вот это было реальное хранилище а не то, что увидел в новоделе.

В общем то стало понятно что восстановить имеющимся бесполезно. И стал вопрос о восстановлении хранилища из дистрибутива. И вот тут новый сюрприз от мелкософта.
Нужен дистрибутив имеющейся версии. А она 1803, и винда из категории обновлённых с семёрки + дальнейшие автоматические обновления.... то есть дистрибутива нет.
Нашёл MediaCreationTools1803, но он отказался работать ссылаясь на то, что уже новый релиз (1809). Найденные ссылки на возможность скачки нужного релиза с сайта микрософта не работали (был редирект на всё тот же MCT1809 и да, я совершил грех и скачал esd-шку нужного мне билда. Извлёк из него install.wim и скормил его dism для восстановления хранилища. Dism запустился и начал восстанавливать, но заткнулся на примерно 7%.
Вручную извлёк штук 10 библиотек и записал их вместо повреждённых.
Винда запускается, кнопка пуск работает появились и другие возможности типа подключиться в WiFi.

Но не все же файлы так вот восстанавливать.
Всё таки хочется чтобы (уже полутруп) начал и сам помогать себе.
Есть какие мыли?
Если нужны логи (dism, sfc или ещё какие) - пишите какие, выложу.

На данном этапе запустил Автоматическое обслуживание - посмотрим что получится.

Обслуживание прошло и ничего особо не изменилось (вполне ожидаемо).
Продолжил работу с SFC, но только не scannow а verifyonly - сразу выдало несколько повреждённых файлов (а не по одному). Опять же, вручную извлёк их из дистрибутива, записал в нужное место - scanonly начал стопориться уже не на 11 а на 69%.
Оказалось что теперь проблема в файлах NetFW 2.0, который установлен в системе.
Вот с дистрибутивом то понятно, а теперь что искать фрэймворк? А потом найдёт ещё в чём то..... Что за ... индусы ...писали это дерьмо?

Продолжение следует ...

[9285]

Такое ощущение что никто не занимался восстановлением систем. Only Format?

[Desorden]

9285,
Эта ОС валится через раз от обновлений, новых драйверов итд, у двух из трех кто пользуется. (стонут практически все кого знаю с win 10)

Лично мои попытки восстановить... долгосрочным успехом не заканчивались. Через короткое время валится чем-то новым.

Имхо, тратить на это время бессмысленно. (разве только ради спортивного интереса)

[9285]

Desorden

Цитата:

Имхо, тратить на это время бессмысленно. (разве только ради спортивного интереса)

Я с этим согласен, особенно в отношении современных ОСин.
Но в практике (особенно более ранней когда речь шла об ХР и т.п.) встречались случаи когда нужно было восстановить существующую ОСь - например в случае бухгалтерского компа с кучей клиент банков и онлайн-отчётностей, для восстановления которых на новой оси потребуется несколько дней и спецов разных банков и т.п. Или восстановить даже на время, что извлечь ключи тех же банк-клиентов и т.п. а потом уже и добивать.
Собственно и в данном случае я уже получил от 10-ки то, что нужно было и можно смело убивать, но мне уже принципиально интересно добиться чтобы штатная проверка работала. Ну и как бы опыта набраться - а то потребуется восстановить а нифига не знаешь.
Опять же, подобные разборки (в отличии от "тупо переустановил") делают "мозговую гимнастику" и узнаёшь что то полезно - в данном случае я узнал о тупоголовой системе "защищённого хранилища", ну и лишний раз убедился в том какое это говно (10ка).

[Staind]

9285, думаешь это вообще реально? Найти причину циклической перезагрузки практически то же самое, что иголку в стоге сена. Что бы я попробовал, это наверное только замену соответствующих файлов с заведомо небитыми файлами ОС при условии, что контрольные суммы этих файлов различаются. Написал бы простенькую программку для этого.

[9285]

Staind
За последнее время несколько систем выводил из циклического восстановления. Так что это не так и сложно.
Здесь же более серьёзно (во втором сообщении подробности) - тем не менее процесс очевидный - от синек до чёрного экрана, потом полуРабочий стол, потом практически работающая система.
На данном этапе я даже не вижу каких то проблем в работе системы, да и в журнале винды всё вроде нормально (сейчас ноут не под рукой) - просто "непорядочек" в проверке системных файлов хочется убрать. Тем более что я знаю что ещё секторах, занимаемых файлами ещё имеется шаблон заполняемый вместо сбойных секторов. И я могу всех их вычислить, но как то не серьёзно это делать в 21 веке.

Кстати, на этапе когда было сообщено об отсутствии одной из библиотек я, ещё не поняв какая бяка с этими хардлинками, "восстановил" её из другого места и сообщение ушло, но вот глюки были. Когда понял что в теле файла есть повреждения - поменял на оригинальную из дистрибутива - и некоторые ошибки сразу исчезли.

[Staind]

Цитата:

Сообщение от 9285

Когда понял что в теле файла есть повреждения

Да, у меня такой ход мысли и был

Вернуть из циклического ребута иногда можно. И помогает в этом внутренний менеджер восстановления. Если все равно не получается - значит либо файлы нужные повреждены, либо проблему можно уже не пытаться искать, проще переставить систему после копирования критически важных файлов.

ИМХО

[9285]

Staind

Цитата:

Да, у меня такой ход мысли и был

Конкретно здесь это не ход мыслей а знание что при вычитывании с проблемного диска данные из сбойных секторов не будут вычитаны. А зная номера секторов можно определить и в каких файлах это будет.

Цитата:

И помогает в этом внутренний менеджер восстановления.

Если бы он помогал то логично что цикла бы не было.
И да, я не упомянул что и режим восстановления при загрузке с флэшки не помогал, как и оффлайн проверка.

Цитата:

Если все равно не получается

Та вроде же написал что получается, как и то что мне не нужно "просто (тупо) переустановить).

[Staind]

9285, не надо рассматривать мой предыдущий пост как какие то рекомендации, тем более применительно к твоему конкретному случаю. Он ведь скорее выражает мое личное мнение для таких ситуаций. Иногда смысла восстанавливать систему, которая наладом дышит. Даже если и внешне будет казаться что явных проблем нет - они могут просто не иметь проявлений, но все равно негативно сказываться на работе системы, что вполне может иметь следствием частичный или полный отказ системы. Собственно на мой взгляд возится с этим не имеет смысла.

[9285]

Staind
Я понимаю ход твоих мыслей и что это ИМХО, но и моё ИМХО такое, что если специалист не занимается решением подобных задач а делает "тупо", то даже имеющиеся знания пропадут.
Дело же не в целесообразности, а в умении.
Оффтоп

Я не знаю, писал уже или нет, но в моей жизни был очень показательный случай. Одного знакомого привезли с серьёзной травмой в больницу. Дежуривший врач не поступил тупо (как минимум, не ампутировал руку), хотя другие советовали ему сделать это во избежании дальнейших проблем. И он, как говорится, собрал по частям и руку и таз. Человек остался с рукой и т.п.
А вот другой "врач"-советчик в другой ситуации ампутировал ногу молодому пацану. И вот я отношусь к категории тех, кто не делает "тупо" и по инструкции (в пределах разумного). Если бы я был другим, то в бОльшинстве форумных случаев по восстановлению данных я бы отвечал в стиле "специалиЗдов" с кибера или зоны "Запусти программу - восстанови данные".

Кстати, разборки с этой системой позволили узнать что в 10-ке используется новый формат сжатия некоторых файлов, и если потребуется восстановить файлы такой категории, то в незапускающейся системе большинство программ восстановления восстановят нули или какой то мусор. И это тоже плюс в копилку знаний.

[Staind]

Цитата:

Сообщение от 9285

новый формат сжатия некоторых файлов

что за формат и каких файлов?

ПС
В этом смысле я тоже люблю иногда поковыряться с чем то ради получения новых знаний/навыков или даже ради спортивного интереса. Так что учитывая мотивацию - вполне разделяю твой подход.

[9285]

Staind
На инглише, но зато уже не надо в результатах гугла разбираться.
https://www.swiftforensics.com/2016/...indows-10.html

[Staind]

9285, прочитал, в принципе все понятно. Частично статья требует также знания тонкостей работы самой NTFS, а именно надо иметь четкое представление о метаданных, также о потоках ads. Так что сложил я для себя лишь поверхностное представление.

А какое практическое значение для твоей сферы применения? Какая разница какой файл восстанавливать - сжатый или гне сжатый?

ПС
Если влезал в тему этой новой компрессии, то может ли файл вручную сжатый таким способом быть перенесен и распакован на лету в другой файловой системе без ручной распаковки?

[9285]

Staind
Практическая в том, что если мне надо восстановить файл, использующий этот новый тип компрессии, то нужны программы понимающие такой формат сжатия.
Или у тебя проблема с запуском десятки, а под рукой нет дистрибутивного диска, но есть от любой более ранней - загружаешься с него, заглядываешь в содержимое какого то экзешника, драйвера и т.п. - а там нули. Считаем что файл повреждён или ещё что то ( а на самом деле он может быть цел) и идём по ложному пути решения проблемы.
Если нужно работать с такими файлами нативно в системе, то нужно работать в 10ке.

Добавлено через 3 минуты
Кстати, со вторым фрэймвороком "разобрался" - в компонентах винды отключил 3.5 (включает и 2.0) и после удаления sfc продвинулась до 71%.