Analyser OS Windows sur un DD (Disque Dur) externe?
Helium100
Messages postés
27
Statut
Membre
-
Helium100 Messages postés 27 Statut Membre -
Helium100 Messages postés 27 Statut Membre -
Bonjour,
je ne suis pas un habitué des forums, mais je rencontre un problème plutôt tenace.
Voilà, est-il possible d'analyser une installation Windows sur DD externe dans le but de lire les journaux et rapports d'erreurs ainsi que d'extraire une liste des pilotes et périphériques installés? (Voire d'avantage)
Peut-être existe-t-il un logiciel (sous Windows ou Linux) qui permet de faire cela à partir d'un pc branché sur le DD?
Ou une autre idée (raisonnable et ciblée)?
Merci pour votre aide et votre contribution.
Je ne manquerai pas de marquer le sujet comme étant "résolu".
je ne suis pas un habitué des forums, mais je rencontre un problème plutôt tenace.
Voilà, est-il possible d'analyser une installation Windows sur DD externe dans le but de lire les journaux et rapports d'erreurs ainsi que d'extraire une liste des pilotes et périphériques installés? (Voire d'avantage)
Peut-être existe-t-il un logiciel (sous Windows ou Linux) qui permet de faire cela à partir d'un pc branché sur le DD?
Ou une autre idée (raisonnable et ciblée)?
Merci pour votre aide et votre contribution.
Je ne manquerai pas de marquer le sujet comme étant "résolu".
A voir également:
- Analyser OS Windows sur un DD (Disque Dur) externe?
- Cloner disque dur - Guide
- Defragmenter disque dur - Guide
- Chkdsk disque dur externe - Guide
- Test disque dur - Télécharger - Informations & Diagnostic
- Nettoyage disque dur - Guide
4 réponses
Salut
oui il est possible d'extraire des informations depuis un Windows "offline" en utilisant des outils de "forensic".
En utilisant ce dernier mot-clef tu devrais facilement trouver ces outils sur internet.
oui il est possible d'extraire des informations depuis un Windows "offline" en utilisant des outils de "forensic".
En utilisant ce dernier mot-clef tu devrais facilement trouver ces outils sur internet.
Je pense plutôt à un problème matériel, notamment le disque dur.
Tu as testé le disque externe depuis ton PC fonctionnel ? Un chkdsk /r ?
Sinon tu peux vérifier s'il y a des erreurs relatives au disque en recherchant dans le dossier System de l'observateur des évènements (event viewer) du Windows.
Effectivement il te faudrait utiliser un outil comme MyEventViewer de NirSoft ou EventlogXP démarré depuis ton autre PC.
Tu as testé le disque externe depuis ton PC fonctionnel ? Un chkdsk /r ?
Sinon tu peux vérifier s'il y a des erreurs relatives au disque en recherchant dans le dossier System de l'observateur des évènements (event viewer) du Windows.
Effectivement il te faudrait utiliser un outil comme MyEventViewer de NirSoft ou EventlogXP démarré depuis ton autre PC.
Dans le doute, j'ai relancé un Chkdsk en ligne de commande avec le paramètre /r comme vous me conseillez.
Le test va durer un petit moment, je vous donnerai les résultats à la fin.
Je posterai également les erreurs que j'ai pu constater dans le journal "système" de l'observateur d'événement.
Si je me souviens bien, Je n'avais détecté aucune erreur grave en testant le disque:
-Avec la vérification d'erreur de Windows (chkdsk)
-En vérifiant les données S.M.A.R.T. (Mise à part les erreurs de lectures classiques peu nombreuses, RAS)
En attendant, je vais regarder les deux logiciels que vous me conseillez.
Le test va durer un petit moment, je vous donnerai les résultats à la fin.
Je posterai également les erreurs que j'ai pu constater dans le journal "système" de l'observateur d'événement.
Si je me souviens bien, Je n'avais détecté aucune erreur grave en testant le disque:
-Avec la vérification d'erreur de Windows (chkdsk)
-En vérifiant les données S.M.A.R.T. (Mise à part les erreurs de lectures classiques peu nombreuses, RAS)
En attendant, je vais regarder les deux logiciels que vous me conseillez.
Bonsoir,
Le chkdsk n'a détecté aucune erreur:
593411071 Ko d'espace disque au total.
48539848 Ko dans 164782 fichiers.
107520 Ko dans 40205 index.
0 Ko dans des secteurs défectueux.
518343 Ko utilisés par le système.
65536 Ko occupés par le fichier journal.
544245360 Ko disponibles sur le disque.
4096 octets dans chaque unité d'allocation.
148352767 unités d'allocation au total sur le disque.
136061340 unités d'allocation disponibles sur le disque.
Voici quelques erreurs du journal application:
-Nom de l'application défaillante VCAgent.exe, version : 8.4.2.12030, horodatage : 0x5476d099
-La description de l'ID d'événement 1002 dans la source Application Hang est introuvable. Le composant qui a déclenché cet événement n'est pas installé sur l'ordinateur local ou l'installation est endommagée. Vous pouvez installer ou réparer le composant sur l'ordinateur local.
-Le service de protection logicielle s'est arrêté.
-La description de l'ID d'événement 8193 dans la source System Restore est introuvable. Le composant qui a déclenché cet événement n'est pas installé sur l'ordinateur local ou l'installation est endommagée.
Voici quelques erreurs du journal système:
-L'initialisation du fichier de vidage sur incident a échoué.
-L'alerte fatale suivante a été générée : 51. L'état d'erreur interne est 900.
-L'alerte fatale suivante a été générée : 20. L'état d'erreur interne est 960.
-Le service Détection de services interactifs s'est arrêté avec l'erreur :
Fonction incorrecte.
-L'alerte fatale suivante a été reçue : 40.
-L'alerte fatale suivante a été générée : 70. L'état d'erreur interne est 105.
-Le service VCService s'est terminé de façon inattendue pour la 1ème fois.
-Le service Superfetch s'est arrêté avec l'erreur :
Le service n'a pas été démarré.
En regardant bien: La plupart des problèmes sont regroupés à des dates précises; La plupart du temps c'est un service qui n'a pas pu démarrer ou stipulant qu'un composants n'a pas pu démarrer ou est endommagé
Je me demande si l'OS ou la partition recovery n'est pas corrompus; ou ; si un pilote ne c'est pas mal installé.
Je précise qu'avant la réinstallation de l'OS, la même panne était intervenue sur le système. (L'OS précédent à également été installé avec la partition de recovery).
Enfin dernière possibilité: le PC est mort.
Quel serait votre diagnostique final? (et comment me conseilleriez vous de trouver une solution?)
Le chkdsk n'a détecté aucune erreur:
593411071 Ko d'espace disque au total.
48539848 Ko dans 164782 fichiers.
107520 Ko dans 40205 index.
0 Ko dans des secteurs défectueux.
518343 Ko utilisés par le système.
65536 Ko occupés par le fichier journal.
544245360 Ko disponibles sur le disque.
4096 octets dans chaque unité d'allocation.
148352767 unités d'allocation au total sur le disque.
136061340 unités d'allocation disponibles sur le disque.
Voici quelques erreurs du journal application:
-Nom de l'application défaillante VCAgent.exe, version : 8.4.2.12030, horodatage : 0x5476d099
-La description de l'ID d'événement 1002 dans la source Application Hang est introuvable. Le composant qui a déclenché cet événement n'est pas installé sur l'ordinateur local ou l'installation est endommagée. Vous pouvez installer ou réparer le composant sur l'ordinateur local.
-Le service de protection logicielle s'est arrêté.
-La description de l'ID d'événement 8193 dans la source System Restore est introuvable. Le composant qui a déclenché cet événement n'est pas installé sur l'ordinateur local ou l'installation est endommagée.
Voici quelques erreurs du journal système:
-L'initialisation du fichier de vidage sur incident a échoué.
-L'alerte fatale suivante a été générée : 51. L'état d'erreur interne est 900.
-L'alerte fatale suivante a été générée : 20. L'état d'erreur interne est 960.
-Le service Détection de services interactifs s'est arrêté avec l'erreur :
Fonction incorrecte.
-L'alerte fatale suivante a été reçue : 40.
-L'alerte fatale suivante a été générée : 70. L'état d'erreur interne est 105.
-Le service VCService s'est terminé de façon inattendue pour la 1ème fois.
-Le service Superfetch s'est arrêté avec l'erreur :
Le service n'a pas été démarré.
En regardant bien: La plupart des problèmes sont regroupés à des dates précises; La plupart du temps c'est un service qui n'a pas pu démarrer ou stipulant qu'un composants n'a pas pu démarrer ou est endommagé
Je me demande si l'OS ou la partition recovery n'est pas corrompus; ou ; si un pilote ne c'est pas mal installé.
Je précise qu'avant la réinstallation de l'OS, la même panne était intervenue sur le système. (L'OS précédent à également été installé avec la partition de recovery).
Enfin dernière possibilité: le PC est mort.
Quel serait votre diagnostique final? (et comment me conseilleriez vous de trouver une solution?)
Salut,
Cette partie de ton message d'erreur indique un problème dans le noyau de Windows, à savoir NT 6.2). Soit le système a flanché (virus ou autre), soit c'est le disque dur.
La touche assist (présente sur les vaio) répond-elle encore ? As-tu essayé d'actualiser ?
Donne un aperçu (photos sur www.cjoint.com) du disque dur puisque tu accèdes à l'invite de commandes :
Idem pour le démarrage :
Pour info, ma fille possède un vaio pour son boulot... en moins d'un an, le disque dur et la carte mère ont déjà été remplacés. Matériel de m...
This was probably caused by the following module: ntoskrnl.exe (nt+0x150AA0)
Bugcheck code: 0x7A (0xFFFFF6FC80A21370, 0xFFFFFFFFC000000E, 0x35363880, 0xFFFFF9014426E360)
Error: KERNEL_DATA_INPAGE_ERROR
file path: C:\Windows\system32\ntoskrnl.exe
Cette partie de ton message d'erreur indique un problème dans le noyau de Windows, à savoir NT 6.2). Soit le système a flanché (virus ou autre), soit c'est le disque dur.
La touche assist (présente sur les vaio) répond-elle encore ? As-tu essayé d'actualiser ?
Donne un aperçu (photos sur www.cjoint.com) du disque dur puisque tu accèdes à l'invite de commandes :
diskpart
list disk
list volume
select disk 0
list partition
exit
Idem pour le démarrage :
bcdedit /v
Pour info, ma fille possède un vaio pour son boulot... en moins d'un an, le disque dur et la carte mère ont déjà été remplacés. Matériel de m...
Bonjour,
Merci pour votre diagnostique
Voici ce que vous m'avez demandé:
https://www.cjoint.com/c/ECyvUPPxize
https://www.cjoint.com/c/ECyvVIB0yka
La touche "assist" fonctionne très bien.
L'actualisation ne fonctionne pas car le disque est protégé.
Mais ce n'est pas très grave car je compte réinstaller Windows de toute façon. Mais avant cela, j'aimerais trouver le problème à l'origine de l'instabilité du système.
Oui je n'apprécie pas trop les VAIO non plus.
Il s'agit de dépanner un proche avant tout.
Merci pour votre diagnostique
Voici ce que vous m'avez demandé:
https://www.cjoint.com/c/ECyvUPPxize
https://www.cjoint.com/c/ECyvVIB0yka
La touche "assist" fonctionne très bien.
L'actualisation ne fonctionne pas car le disque est protégé.
Mais ce n'est pas très grave car je compte réinstaller Windows de toute façon. Mais avant cela, j'aimerais trouver le problème à l'origine de l'instabilité du système.
Oui je n'apprécie pas trop les VAIO non plus.
Il s'agit de dépanner un proche avant tout.
Alors,
1. Commençons par le début : tes partitions sont correctes, idem pour le démarrage. Perso, je tenterais déjà un point de restauration antérieur :
Ça peut peut-être suffire.
2. Refais un chkdsk, mais complet :
Puis
3. Le message "disque protégé" lorsque tu veux actualiser est probablement dû au fait que le pc n'est pas arrêté, mais en veille prolongée.
devraient faire apparaître le fichier hiberfil.sys . Il faut alors le supprimer:
del /A:HS hiberfil.sys
Regarde aussi si une mise à jour n'est pas "en cours".
Si ça renvoie un fichier pending.xml, tu le supprimes aussi. Tu redémarres une fois, puis tu retentes l'actualisation.
4. Tu remets le pc à l'état d'usine.
a. Tu récupères les fichiers en utilisant le menu de notepad. Tu tapes :
Menu ouvrir, puis "tous les fichiers", tu cherches le dossier C:/users et tu copies tous les fichiers importants sur une clé usb.
b. Tu remets à l'état d'usine depuis la touche "assist".
1. Commençons par le début : tes partitions sont correctes, idem pour le démarrage. Perso, je tenterais déjà un point de restauration antérieur :
rstrui.exe
Ça peut peut-être suffire.
2. Refais un chkdsk, mais complet :
chkdsk c: /f /r
Puis
sfc /scannow /offbootdir=c:\ /offwindir=c:\windows
3. Le message "disque protégé" lorsque tu veux actualiser est probablement dû au fait que le pc n'est pas arrêté, mais en veille prolongée.
c:
dir /a:hs *.sys
devraient faire apparaître le fichier hiberfil.sys . Il faut alors le supprimer:
del /A:HS hiberfil.sys
Regarde aussi si une mise à jour n'est pas "en cours".
dir c:\winsxs\*.xml
Si ça renvoie un fichier pending.xml, tu le supprimes aussi. Tu redémarres une fois, puis tu retentes l'actualisation.
4. Tu remets le pc à l'état d'usine.
a. Tu récupères les fichiers en utilisant le menu de notepad. Tu tapes :
notepad.exe
Menu ouvrir, puis "tous les fichiers", tu cherches le dossier C:/users et tu copies tous les fichiers importants sur une clé usb.
b. Tu remets à l'état d'usine depuis la touche "assist".
Merci pour votre réponse détaillée.
Mais je ne cherche pas à remettre le système actuelle en fonctionnement. Je veux simplement trouver la panne.
Car le PC à déjà fait ce genre de problème plusieurs fois, ce qui a toujours conduit à une réinstallation du système avant que la panne revienne à nouveau.
Ensuite en fonction de la panne (grave ou pas) je tenterai une réparation en utilisant votre post. Ça me servirait pas si la panne revenait après la réparation.
Dans cette optique de recherche de la panne, quelles opérations me conseilleriez-vous d'effectuer?
Mais je ne cherche pas à remettre le système actuelle en fonctionnement. Je veux simplement trouver la panne.
Car le PC à déjà fait ce genre de problème plusieurs fois, ce qui a toujours conduit à une réinstallation du système avant que la panne revienne à nouveau.
Ensuite en fonction de la panne (grave ou pas) je tenterai une réparation en utilisant votre post. Ça me servirait pas si la panne revenait après la réparation.
Dans cette optique de recherche de la panne, quelles opérations me conseilleriez-vous d'effectuer?
bonsoir,
Je pensais passer par un utilitaire du genre Hiren's boot pour la recherche de la panne. C'est la raison de mon message précédent.
Les commandes n'ont pas fonctionnée:
chkdsk n'a rien signalé.
scannow détecte des erreurs, dit les corriger, mais le système ne démarre toujours pas.
Auncun fichier hyberfile ou pending.
Parcontre avant de planter voici ce qu'affiche le PC:
iolorgdf32 program not found - skipping AUTOCHECK
Suis-je bon pour la réinstallation? Ou vous pensez à vérifier autre chose avant?
Merci
Je pensais passer par un utilitaire du genre Hiren's boot pour la recherche de la panne. C'est la raison de mon message précédent.
Les commandes n'ont pas fonctionnée:
chkdsk n'a rien signalé.
scannow détecte des erreurs, dit les corriger, mais le système ne démarre toujours pas.
Auncun fichier hyberfile ou pending.
Parcontre avant de planter voici ce qu'affiche le PC:
iolorgdf32 program not found - skipping AUTOCHECK
Suis-je bon pour la réinstallation? Ou vous pensez à vérifier autre chose avant?
Merci
Il semblerait que ce soit le début d'une solution.
Auriez-vous une idée d'un logiciel spécifique qui me permettrait d'extraire facilement une liste des pilotes? Voire diagnostiquer une panne sur un Windows offline?
Je précise que je connais déjà des utilitaires tel qu'Hiren's boot, mais mis à part le diagnostique des pannes matérielles, je ne trouve rien de convainquant sur les pannes logicielles.
Ne sois pas avare en détails, nous gagnerions du temps.
J'ai un PC VAIO (SVE1512H) sous la main datant de 1 an il me semble, tournant sous Win8 (Upgradé en 8.1, installé en UEFI, OEM).
Le Pc à fait un BSOD avec ce message:
On Sun 08/02/2015 13:02:30 GMT your computer crashed
crash dump file: C:\Windows\Minidump\020815-84937-01.dmp
This was probably caused by the following module: ntoskrnl.exe (nt+0x150AA0)
Bugcheck code: 0x7A (0xFFFFF6FC80A21370, 0xFFFFFFFFC000000E, 0x35363880, 0xFFFFF9014426E360)
Error: KERNEL_DATA_INPAGE_ERROR
file path: C:\Windows\system32\ntoskrnl.exe
product: Microsoft® Windows® Operating System
company: Microsoft Corporation
description: NT Kernel & System
Bug check description: This bug check indicates that the requested page of kernel data from the paging file could not be read into memory.
The crash took place in the Windows kernel. Possibly this problem is caused by another driver that cannot be identified at this time.
Moment à partir du quel le PC et devenu très lents jusqu'à devenir instable (L'OS à cessé de démarrer).
Il semblerait après plusieurs tests qu'il n'y ait pas de problème matériel. (Test peut être pas assez approfondis?)
Je soupçonne un conflit logiciel du aux divers pilotes, ceux que je voudrais vérifier.
Je précise qu'il ne semble pas y avoir eu de Virus ou autre programme malveillant à l'origine du problème (J'ai garder un oeil sur le PC depuis l'installation de L'OS)
Le PC en question était protégé avec Bitdefender sur ce genre d'attaque (Cela dit, rien n'est infaillible).
Mais soupçon ce tourne également sur la partition de Recovery du Système (Endommagée, défectueuse, vérolée?)
Si vous avez besoin d'autres informations (ou de me faire effectuer des tests plus spécifiques), ce sera avec plaisir.
Merci pour votre aide.