Groszexxx

Dysk obecnie ma 6923 godzin, ale kilkadziesiąt godzin pracy wcześniej zostały odnotowane błędy z nieczytelnym sektorem: 

 

Z tego powodu zalecałbym zrobić wszystko ze sztuką i zacząć od zrobienia kopii posektorowej. Będzie potrzebny dysk o pojemności równej lub większej partycji, którą będziemy kopiować. Dysponujesz takim dyskiem? 

Pobierz program GSmartControl, a następnie rozpakuj, uruchom, wybierz dysk, zapisz log "save as" i wrzuć na jakiś hosting.

Zrobiłem Screena z forum, żeby go później zapisać do pliku graficznego i go podzielić na kawałki 

Waży 506 490 B. Policzmy ile to klastrów.  506 490 / 4096 (rozmiar klastra) = 123 z hakiem, dopełniamy więc do 124 klastrów. I faktycznie,  Fragger pokazuje nam dokładnie tak samo, plik jest w jednym fragmencie.

Podzielmy nasz plik na 3 fragmenty. 

Wyszukajmy nasz plik w MFT,

następnie zanalizujmy spis esktentów dataruns.

To samo widzimy w programie. 

Czas na naszą ręczną defragmentację. Wiemy gdzie znajdują się fragmenty naszego pliku i ile liczą sobie klastrów. Naszym celem jest połączenie tych trzech fragmentów w jeden. Spojrzałem na mapę alokacji klastrów na dysku i wybrałem 59898624. 

 

Drugi screen: 

31 
29 
43580   ->  275840

31 
29
fd3c00 -> 275840-181248= 94592

31 
2a 
498c0 - > 301248+94592=395840

 

O liczeniu esktentów dataruns pisałem już dawno w tym temacie: https://www.fixitpc.pl/topic/32832-ontrack-easyrecovery-6x/  dokładniej post 18. 

 

 

I to samo pokazuje Fragger

 

 

Czas na nasza defragmentacje. Tutaj sprawa jest prosta. Sprawdzamy mapę alokacji plików (zajętość poszczególnych klastrów dla plików, to zobaczenia np w DMDE, jeżeli byśmy mieli ręcznie sprawdzać zajętość klastrów to wtedy sprawdzamy to w metadanej o nazwie $Bitmap. Tutaj objaśnienia jak w Bitmap jest to zapisywane: https://whereismydata.wordpress.com/2009/06/01/forensics-what-is-the-bitmap/  

 

 

 

Dla testu dysponujemy niemalże całą pustą partycją. Ja sobie wybrałem klaster 4000. To do niego przeniesiemy zawartość trzech fragmentów.  Pamiętajmy, żeby kopiować zawsze wielokrotność 8 sektorów, bo tyle ma klaster, a system plików operuje tylko na klastrach. Potem musimy zmodyfikować nasz dataruns. Jak ręcznie znaleźć nagłowek MFT dla naszego pliku? Najprościej po nazwie wykorzystując hexeditor. Z tym, że nazwa jest zapisywane w pewien ściśle okreslony sposób: kod ascii dla danego znaku (dla uproszczenia przyjmijmy, że litery lub cyfry) + 00. I tak "Nowy dokument tekstowy.txt wygląda tak: 

Tutaj małe poszerzenie informacji: Lokalizujemy sekcję $Data w mft, która zaczyna się sygnaturą 800000, szukamy dwóch bajtów od 20 bajtu (liczonego od początku $Data), tu jest info gdzie znajduje się ekstentów dataruns. Na naszym screenie to 4000 (pamiętajmy o little endian, a więc czytamy od tyłu 00 40), także 40 bajt liczony od początku sekcji $data. Czas na naszą modyfikację. Wiemy, że plik mieści się w 124 klastrach, w hexach to: 7C , a klaster 4000 w hexach to FA0.  

Powstaje nam: 

 

Resztą - np. tablicą alokacji plików, zajmie się chkdsk.  Pamiętajmy, że w chwili obecnej plik wykorzystuje przestrzeń, która nie jest zaalokowana. Chkdsk to naprawi: 

 

Pomimo dwóch złowieszczych błędów na końcu - wszystko zostało zrekonstruowane i plik jest czytelny. Jest również w jednym kawałku i faktycznie w klastrze nr 4000:

Plik oczywiście jest czytelny i bez trudu można go otworzyć.

 

Wiemy już nie tylko co to jest defragmentacja, ale też to jak wygląda ona od środka. Mimo iż mamy 2018 rok, bez przerwy, w koło Macieja ludzie nie mają świadomości co ona daje, po co jest, traktując to jako jakiś magiczny rytuał, który ma uzdrowić wolno działający komputer. Wraz z pojawieniem się dysków SSD straciła na znaczeniu, domyślnie jest nawet wyłączona w windows 10 - podobnie jak wiele innych usług - np. indeksowania. Wielu ludz bez wiedzy powtarza jak mantrę, że defragmentacja na dyskach SSD jest bezcelowa i, że to tylko skraca żywotność dysku. To bzdura. Oczywiście jeśli patrzymy na to tylko z punktu widzenia wydajności - to faktycznie, nie ma ona znaczenia, ale ma ogromne znaczenie, gdy spojrzymy z punktu widzenia odzyskiwania danych. Pliki, które są w jednym kawałku - są bardzo proste do odzyskania - o czym też już kiedyś miałem przyjemność pisać w tym poście:  

 

 

Chciałbym wyrazić sporą krytykę na postępowanie autora. Niezręcznie mi pisać nie na temat, ale muszę podkreślić, że odechciewa się pomagać w takich sytuacjach. W logach widzę kolejne przejawy radosnej twórczości autora. Dlaczego podejmujesz jakieś irracjonalne próby naprawy na własną rękę? 

 

Co to jest? 

2018-07-04 01:27 - 2010-11-21 04:24 - 000279040 _____ (Microsoft Corporation) C:\Windows\System32\sethc.old
2018-07-04 01:25 - 2010-11-21 04:24 - 000279040 _____ (Microsoft Corporation) C:\sethc.exe

 

Co to jest? 

Skoro zostały znalezione naruszenia integralności - pokaż log, jego lokalizacja to: C:\Windows\Logs\CBS\CBS.log. Generalnie pierwsze co zostało zalecone to podmiana plików rejestru, bo poprzednie być może były uszkodzone i FRST nie mógł ich odczytać. Zaleciłem to już następnego dnia. Log z FRST zamieścileś 28 lipca (pierwszą odpowiedź z sugestią podmiany plików rejestru dałem dzień po Twoim pierwszym poście, 6 lipca). W poście 4 też jest dobitny dowód na to, do czego doprowadziłeś, zwłaszcza, że sam już w pierwszym wymieniłeś czynności jakich dokonałeś: 

W dniu 5.07.2018 o 13:28, snorg napisał:

2 Metoda przywracanie rejestru - cmd - regback, config

 

A potem wyszło, że jednak nie wiesz jak to zrobić, że tego nie potrafisz. Niemniej są ślady takiej aktywności: 

2018-07-04 15:51 - 2009-07-14 03:34 - 014909440 _____ C:\Windows\System32\config\system.old
2018-07-04 15:51 - 2009-07-14 03:34 - 000552960 _____ C:\Windows\System32\config\DEFAULT.O
2018-07-04 15:51 - 2009-07-14 03:34 - 000061440 _____ C:\Windows\System32\config\sam.old
2018-07-04 15:50 - 2009-07-14 03:34 - 000024576 _____ C:\Windows\System32\config\security.old

 

Ale późniejsza aktywność co do pozostałych plików nasuwa skojarzenia, że system po tym zabiegu wystartował normalnie. Widzę całą masę plików edytowanych po tej operacji. Może napiszesz nam łaskawie co się stało? Czy była przeprowadzana jakaś aktualizacja? Czy korzystałeś z narzędzia "naprawa systemu podczas startu"? 

 

Dostarcz mi ten log CBS i przygotuj sobie na penie obraz windows 7 x64 SP1 Home Premium. 

I jak wygląda sytuacja w trybie awaryjnym? Przed startem systemu f8 - wybierz tryb awaryjny z obsługą sieci. Czy objaw jest wówczas taki sam? 

 

Za kazdym razem pokazujesz coś innego. Moge tylko zaproponowac pomoc zdalna. 

Na początek może prosta nakładka sterownika: 

https://pcsupport.lenovo.com/pl/pl/products/laptops-and-netbooks/ideapad-y-series-laptops/y700-17isk/downloads

Pobierz to co jest w sekcji mysz i klawiatura. Zainstaluj i napisz czy to rozwiązuje problem czy nie. Jeśli nie - to ręcznie usuniemy pozostałości po tych obecnych sterownikach i wtedy na czysto zainstalujemy je jeszcze raz. 

Masz po lewej stronie trojkat, ktory oznacza rozwiniecie danej opcji. Ponadto jest opcja z menu kontekstowego: rozwijaj i expands level. Po prawie trzech tygodniach spodziewalem sie bardziej merytoczycznego posta.

 Co to za laptop?

 

Najpierw odinstaluj też pakiet Synaptics z panelu sterowania  Synaptics Pointing Device Driver.

Następnie uruchom ponownie komputer.

Uruchom menadżera urządzeń i zrób screena z rozwiniętą zakładką  "mysz i inne urzędzenia wskazujące".

Szanowny Kolega się trochę spóźnił z takim postem, myślę, że tak z 10 lat. Raz, że to swoiste oprogramowanie producenta, dwa, że lapka z Vistą to ja już nie widziałem dawno, w sensie, że nawet nie mam możliwości zdobycia go na szybko, żeby przyjrzeć się sprawie. 

 

Wydaję mi się, że ten program i tak wykorzystuje dism albo coś podobnego, więc skorzystaj po prostu z oprogramowania, które samo Ci zintegruje sterowniki do Twojego obrazu. Do wyboru masz ntlite, win toolkit, wspomniany dism i cała masa pochodnych. Ah, rozpędziłem się - dla Visty przecież wystarczy Vlite. 

 

Tutaj są opisane te programy z grubsza, przydatne o tyle, że większość z nich jest nierozwijana i archiwalna - do Visty jak znalazł 

https://www.fixitpc.pl/topic/521-dostosowane-no%C5%9Bniki-instalacyjne-windows-10-vista/

I co, zapycha się karta sieciowa na kilku urządzeniach? . 

 

Słuchaj, oficjalnie zgłoś usterkę, możesz to zrobić i przez internet i przez infolinię. Niech wysyłają technika. Łódź to spore miasto, konkurencja też duża. Możesz rozwiązać umowę z ich winy. Mnie osobiście jarają takie przygody, lubię się po sądach szlajać, z doświadczenia wiem, że dobrze napisane pismo działa na nich lepiej niż sole trzeźwiące. Jeżeli Ty nie potrafisz egzekwować swoich praw, dajesz się spławiać, a potem pytasz na forum co może być nie tak, no to jak to sobie wyobrażasz dalej? 

Po blisko 8 latach słynny program do diagnostyki dysków znów zaczyna być aktualizowany.  

 

 

Obie strony rosyjskojęzyczne. 

Dlaczego zatem najpierw zakładasz temat na forum zamiast skontaktować się z firmą, od której masz internet, czyli TOYA? Router masz swój czy od nich? Podobnie kabel łączący komputer i router. 

A po co bierzesz opcje przywracanie usług katalogowych? Wybierz z listy tryb awaryjny z obsługą siedzi. Zrób w nim logi w FRST. Dołącz też zrzuty pamięci - info tutaj: https://www.fixitpc.pl/topic/29344-diagnostyka-samoczynnych-restart%C3%B3w-i-bsod/

Zrób dla mnie logi w FRST i pokaż mi zakładkę "inne urządzenia" + pokaż mi identyfikatory sprzętowe (ppm na sterownik > właściwości > szczegóły > identyfikator sprzętowy ) dla  tych z listy inne urządzenia. 

Na screenie pokaż menadzer urzadzen z rozwinieta lista "inne urzadzenia" i urzadzenia interfejsu HID

Sęk w tym, że w ogóle nie pokazuje parametrów od Twojej karty, za to zakładka "najgorsze" - pokazuje, że najwyższa temp. była 49. To niezbyt dużo. Tak jak powiedziałem - poszukaj pomocy u fachowców z elvikom. Jak coś ciekawego Ci poradzą - to przekaż to tutaj, szczerze mowiac sam jestem ciekaw co Ci odpiszą. 

Zakładka sensor - tam odszukam gpu i pokaz temperatury. Oh, skoro to po uderzeniu to strzelam, że może pękł lut w bga. To raczej nie to forum do takich napraw. Sprobuj zasiegnac opinii specjalistow na https://www.elvikom.pl/ . Moze ktoś Ci doradzi i zrobi reflow. 

Najczęściej to uszkodzenie karty, można sprawdzić czy się za bardzo nie grzeje, choć to rzadkość. Temperatury mozesz sprawdzić np. w HWInfo lub OCCT, zrob screena i pokaz. Przyznam się jednak, ze obawiam się, że nic z tym nie zrobisz. 

Te artefakty pojawily sie nagle czy cos zmienilas? Albo czy instalowala sie jakas aktualizacja? 

Co zmieniałeś w rejestrze? Masz punkty przywracania systemu? Możesz wrzucić dziennik zdarzeń tutaj, jest o tym na forum.

Próbowałeś naprawić obecną instalację office? W dodaj/usuń programy - bierzesz odinstaluj, a następnie napraw. 

 

Wygląda to na dość specyficzny problem, więc najpierw takie ogolne działania. 

Najpierw przeczytaj zasady działu, a potem się do nich zastosuj. 

7b to charakterystyczny błąd jak wspomniałem wcześniej, występuje w kilku określonych przypadkach. Gdy miałeś dysk z systemem podłączony tradycyjnie przez sata, a potem podłączyłeś go przez usb - to to kwalifikuje się do takiego błędu. Nawet całkiem niedawno sprawdzałem czy dysk z połamanym wejściem sata będzie działał sprawnie po wsadzeniu do adaptera sata/usb i chodzi swietnie, ale systemu z niego nie wystartuje, bo wlasnie wywali błąd 7b.

 

Można się pobawić w zmianę ustawien w rejestrze - upewnij się, że jest tak jak tutaj: https://answers.microsoft.com/en-us/windows/forum/windows_10-hardware-winpc/how-to-enable-ahci-for-ssd-in-windows-10/18ee0b43-47a9-4344-b0c8-1e8546be2c82

(szukane na szybko)

tutaj z obrazkami: https://www.tenforums.com/tutorials/22631-enable-ahci-windows-8-windows-10-after-installation.html

Jesli tak - to mozesz pozmieniac tam wartosci na 3. Nie ma tez tam uwzglednionego klucza msahci, zerknij czy u Ciebie on występuje. 

 

Co się tyczy zas Twojego wczesniejszego posta, z calym szacunkiem, ale ja nie wzialem sobie Lenovo Password Manager z kosmosu. Trwonił duzo zasobow i to jest fakt. 

Bcd jest latwo naprawic i przywrocic. Ogromna ilosc informacji na ten temat z cala masa filmikow na yt. 

Rozwiń Root.

Może nawet nie zauważyłeś, że to co Ci wkleiłem za pierwszym razem jest żywcem wyjęte z cmd. 

 

Sprobuj teraz zrobić skan za pomocą programu FRST.

Kliknij na zolty znaczek i napis ELEMENTS.. Potem dodaj, zapisz zmiany + plik wycofywania. I wtedy przeskanuj wolumin. Mozesz tez od razu na niego wejsc (przed skanowaniem). 

Przecież Ty powinienes wpisac to co jest za znakiem >  czyli od komendy ren.

 

Pisze z telefonu, tu masz przykladowy link z tymi komendami https://www.windows.rneuhoff.de/windows-10-installieren/15-windows-10-installieren/artikel-zu-windows-installieren/318-windows-10-startprobleme-nach-installation.html