Récupération d`une copie du Registre depuis le SVI avec la CDR

Récupération d'une Ruche via le SVI
Page 1 sur 15
Récupération d'une copie du Registre
depuis le SVI avec la CDR
"System Volume Information" (SVI) est un dossier qui contient les Points de Restauration.
Depuis le SP1, il est accessible à la Console de Récupération.
Il est donc devenu possible d'y récupérer un Registre devenu défaillant directement avec la Console De
Récupération (CDR).
Il faut avoir des Points de Restauration valides. Ceux qui ont arrêté le système de surveillance du disque système
se sont privés d'un formidable outil. Ce même sujet a été repris de façon plus condensée sur vista-xp.
UBCD4WIN
Les manipulations qui suivent utilisent la Console De Récupération et ses commandes pour recopier les ruches.
L'exemple montre les opérations nécessaires pour récupérer UNE seule ruche (la ruche SYSTEM parce qu'on
simule un message au démarrage indiquant un fichier config\system endommagé).
Si on doit remplacer toutes les ruches (par exemple un PC qui ne démarre plus, Mode Sans Échec et Dernière
bonne config inopérants) ces manipulations seront à répéter autant de fois. On trouvera dans ce cas beaucoup
plus confortable l'utilisation d'un BARTPE comme UBCD4WIN qui permet également d'accéder au SVI. Un must à
posséder absolument. Cerise sur le gâteau il est à présent possible de créer une clé USB bootable.
CD Live Linux
Si on n'a pas la possibilité d'utiliser un BARTPE, on peut trouver plus rapide de télécharger et graver un CD Live
Linux. Il démarre indépendamment du disque dur, et depuis le Bureau Linux il sera possible de sauvegarder des
fichiers (Réseau, Internet, USB) et de copier les ruches. Kaella est très facile à utiliser. Le disque dur est déjà
monté, il suffit, avec un clic droit sur l'icône, d'autoriser l'écriture. Par contre l'image ISO du CD fait des centaines
de Mo. J'ai trouvé un CD Live Linux très léger (moins de 100Mo à télécharger), facile à utiliser, et en français. De
plus un excellent tutoriel vous guidera pour récupérer vos données ==>
http://www.pc-infopratique.com/article-129-1-recuperer-ses-donnees-avec-toutou-linux.html
http://puppylinux.ca/puppyfiles/custom/French/
Supports de disque dur USB
Une autre possibilité de dépannage est à évaluer. Même s'il s'agit d'un portable, il n'est souvent pas trop difficile
d'extraire le disque dur et de le monter dans un support externe USB. Ces supports sont bon marchés et sont
d'excellents investissements. En particulier les modèles de 2,5 pouces pour les portables ont toutes les qualités :
très peu encombrants, légers, sans besoin d'un lourd bloc d'alimentation, ils serviront toujours (sauvegardes,
transports de grosses quantités de données). On a bien sûr également la possibilité de monter le disque dur
directement dans un PC, éventuellement à l'aide d'un adaptateur.
Windows ne démarre plus ?
Quand Windows ne démarre pas, on est dirigé vers le Menu de Démarrage Avancé pour tenter un Redémarrage
selon la dernière bonne configuration connue.
Si on a une idée de la cause du problème, on peut aussi choisir le Mode Sans Échec.
S'il n'est pas proposé, le Menu de Démarrage Avancé peut être obtenu en tapotant la touche F8 pendant la mise
en route.
Noter l'existence de l'item Désactiver le redémarrage automatique en cas d'échec système qu'on demande
habituellement de faire depuis Windows pour afficher le BSOD quand un PC redémarre en cours de session ou
http://fspsa.free.fr/cdr-svi.htm
30/10/2010
Récupération d'une Ruche via le SVI
Page 2 sur 15
lors de l'arrêt. Cet item sera utile en cas de redémarrages perpétuels. En complément voir Comment désactiver un
Pilote ou un Service qui empêche le démarrage.
Une possibilité de revenir à un Point de Restauration existe avec la commande %systemroot%\system32
\restore\rstrui.exe utilisable en Mode Invite de Commande sans Échec. Noter que le Mode sans Échec normal
propose, à l'ouverture de la session, de cliquer sur le bouton [Non] pour lancer directement la procédure de retour
à un point de restauration.
Si le disque ne semble pas avoir de gros problèmes, un CHKDSK /R depuis la Console de Récupération
donne souvent un résultat en réparant quelques clusters. Si le disque est douteux et semble être en train
de tomber en panne, privilégier la récupération des fichiers importants, par exemple avec un BARTPE ou
un CD Live Linux (réseau, USB).
Le problème vient du Registre ?
Il arrive qu'un message nous avertisse que le problème vient d'une Ruche du Registre.
Il faut alors faire appel à la Console de Récupération (CDR). La CDR s'obtient en démarrant sur le CD d'installation
de Windows. Elle est aussi parfois installée sur le disque dur par le constructeur et cette option fait alors partie du
Menu de Démarrage Avancé évoqué plus haut (F8).
Si on ne l'a pas, télécharger les disquettes de démarrage. Si on n'a pas de lecteur de disquettes, créer un CD
bootable et y incorporer les fichiers. Le téléchargement des disquettes et la fabrication du CD sont expliqués dans
cet article : Créer un CD bootable comprenant une Console de Récupération pour Windows XP
Généralement, la perte d'une Ruche fait suite à une brutale coupure d'alimentation. Un défaut du disque peut aussi
être suspecté. La première chose à tenter est une réparation du disque. Cette manip est simple à faire, et est
suivie en général d'un résultat positif. La commande à taper dans la CDR est CHKDSK pour analyser la partition.
Si des erreurs sont détectées, essayer CHKDSK /P pour réparer les fichiers. On peut aussi essayer CHKDSK /R
qui répare également l'espace libre. Lancer la commande le soir car elle peut durer plusieurs heures. Il est
souhaitable de protéger le PC en installant un onduleur (système d'alimentation avec batterie).
Pour rappel uniquement : Récupération du Registre depuis Windows\repair
Ceci est un rappel de ce qui se faisait avant. Préférer la méthode décrite plus bas.
Si CHKDSK /R ne donne pas de résultat, et si on ne dispose pas de points de restauration, il est possible de
récupérer une (très) vieille copie du Registre.
Une (très) ancienne sauvegarde des ruches se trouvent dans le dossier C:\WINDOWS\repair
Ces copies datent de l'installation de Windows.
La manipulation consiste donc à recopier ces ruches dans C:\WINDOWS\system32\config
Selon la méthode décrite, une fois Windows redémarré, on utilise les sauvegardes plus pertinentes contenues
dans C:\System Volume Information (SVI) pour remettre le système dans un état plus récent (maintenant
que le SVI est accessible à la CDR, on peut se passer de ces étapes, c'est le but de cet article).
La méthode est décrite par le support de MS :
Comment faire pour récupérer Windows XP à partir d'un Registre endommagé qui empêche le démarrage du
système
et est reprise dans diverses FAQ, chez PN par exemple :
\%systemroot%\system32\config\software ou system manquant ou corrompu
Et aussi chez Alain Vouillon :
%systemroot%\system32\config\software manquant ou corrompu
Alain a repris son article pour tenir compte de la nouvelle possibilité d'accéder au SVI.
Ces lectures sont instructives, et cette méthode pourrait être éventuellement utilisée si on n'a pas de Points de
Restauration suite à la désactivation (non recommandé) de la Restauration Système. On va voir que,
contrairement à ce qui a motivé ces déplacements compliqués de fichiers, SVI est accessible à la Console de
Récupération, et la réparation peut être faite en une fois.
http://fspsa.free.fr/cdr-svi.htm
30/10/2010
Récupération d'une Ruche via le SVI
Page 3 sur 15
Récupération du Registre depuis System
Volume Information
Si CHKDSK /R ne donne pas satisfaction, on envisage de réparer le registre à partir d'une copie récente située
dans le Système Volume Information.
L'exemple ci-après montre la manipulation avec la Ruche SYSTEM.
Dans la pratique, il sera envisagé de récupérer l'ensemble du Registre, c'est-à-dire toutes les ruches, comme décrit
par Alain Vouillon :
%systemroot%\system32\config\software manquant ou corrompu
Si le PC démarre après le remplacement de la Ruche signalée corrompue, il suffira de revenir au point de
restauration qui a servi à la réparation, ce qui sera plus simple que de refaire ces manips pour chaque ruche en
lignes de commandes.
Noter la possibilité de faire ces copies de ruches à la souris depuis un autre système, un BARTPE par exemple
(voir plus haut), ce sera bien plus facile que ce qui suit, qui sert surtout à démontrer une possibilité offerte par la
CDR, et à expliciter la méthode. Les novices préfèreront sans doute utiliser ERD Commander pour revenir en trois
clics à un point de restauration (voir plus haut).
Exemple avec la Ruche SYSTEM
Ce qu'on va faire :
Par prudence on va sauvegarder le fichier system
C:/WINDOWS/system32/config ==>
Encore une fois cet exemple ne porte que sur la ruche SYSTEM. Si vous avez eu un message du genre "%
systemroot%\system32\config\software manquant ou endommagé", c'est évidemment à la ruche SOFTWARE qu'il
faut vous intéresser. Les autres ruches qu'il peut être nécessaire de restaurer si le PC ne démarre toujours pas
sont SAM, SECURITY, DEFAULT. Cinq en tout. Poursuivons l'exemple sur la ruche SYSTEM :
Comme la Console de Récupération donne aujourd'hui accès au répertoire "System Volume Information", on va
recopier la Ruche directement depuis un Point de Restauration :
http://fspsa.free.fr/cdr-svi.htm
30/10/2010
Récupération d'une Ruche via le SVI
Page 4 sur 15
L'image ci-dessus montre que le chemin est un peu long.
On commencera donc par s'y déplacer à l'aide de la commande CD (Change Directory) avant d'utiliser la
commande COPY depuis la Console de Récupération. C'est ce que nous allons voir...
Pour ceux qui sont dans un cas un peu semblable à celui-ci :
Le PC ne démarre plus, la séquence de démarrage s'arrête à l'étape du chenillard. Cependant le Mode Sans
Échec est disponible. Hélas un CHKDSK /R depuis le Mode sans Échec ou la CDR ne change rien à la situation.
Pour finir le tableau, des Points de Restauration sont disponibles mais la restauration ne va pas jusqu'au bout. Il
faudra donc faire la manipulation pour toutes les ruches (voir plus haut pour des solutions plus pratiques que la
CDR).
Le Mode sans Échec permettra de renommer les fichiers après leur copie d'un point de récupération (comment
entrer dans le SVI) vers un dossier plus pratique d'accès. Cela fera gagner beaucoup de temps avec la CDR, et
préparera le terrain si on utilise les autres possibilités d'accès aux fichiers évoquées plus haut.
Il a été rapporté un cas pour lequel le remplacement des ruches par celles du SVI n'a été efficace, en terme de
dépannage, qu'après avoir écrasé les ruches de windows\system32\config par celles de windows\repair. À méditer.
Prêt ? À l'attaque !
Afin de provoquer une panne, la Ruche SYSTEM a été remplacée par un fichier quelconque, renommé "system".
Voici ce que donne le démarrage suivant :
http://fspsa.free.fr/cdr-svi.htm
30/10/2010
Récupération d'une Ruche via le SVI
Page 5 sur 15
J'ai donc démarré la Console de Récupération.
Ici elle a été installée sur le disque dur avec la commande C:\i386>winnt32 /cmdcons)
Elle est donc proposée dans le Menu de démarrage (conseillé).
Si on n'a pas pris cette disposition :
utiliser le CD d'installation de Windows ou les disquettes de démarrage évoquées plus haut.
Démarrer avec le CD, appuyer sur une touche pour confirmer lorsque demandé ...
et lorsque proposé choisir "R" pour démarrer la Console.
Moi je sélectionne avec les flèches et j'appuie sur Entrée ==>
La CDR demande sur quel système démarrer la session :
http://fspsa.free.fr/cdr-svi.htm
30/10/2010
Récupération d'une Ruche via le SVI
Page 6 sur 15
On peut en effet installer XP plusieurs fois (recommandé).
En pratique on n'a souvent qu'un seul système et le choix est simple : 1
Le clavier numérique est utilisable, mais il doit être activé en appuyant sur sa touche [Verr Num].
N'ayant qu'un seul exemplaire de Windows installé, j'entre le chiffre 1 en réponse à la question.
Habituellement le mot de passe Administrateur est demandé (on va voir qu'aujourd'hui il y a exception).
Il s'agit du même Administrateur que celui qui est disponible en secours lorsque l'on démarre en Mode sans Échec.
En général le mot de passe n'a pas été renseigné lors de l'installation de Windows, il est donc vide, et il suffit
d'appuyer sur la touche Entrée pour arriver au Prompt.
Voici donc ce qu'on devrait avoir (sauf utilisation d'une stratégie supprimant cette demande de mot de passe)
==>
http://fspsa.free.fr/cdr-svi.htm
30/10/2010
Récupération d'une Ruche via le SVI
Page 7 sur 15
Cela, c'était pour montrer le fonctionnement habituel.
Mais, conséquence de l'anomalie créée, surprise : le mot de passe n'est pas demandé ! C'est inattendu,
mais en y réfléchissant, la CDR ne peut pas lire le mot de passe situé dans la ruche SYSTEM endommagée, c'est
donc logique.
Je n'ai pas utilisé la stratégie de suppression de la demande du mot de passe, comme l'écran ci-dessus l'atteste.
Autre surprise, un message précède le Prompt.
Il rappelle que le Démarrage selon la dernière bonne configuration connue pourrait régler le problème.
C'est un excellent conseil, auquel j'ajouterais la possibilité d'utiliser CHKDSK /R
Voici donc cet écran sans demande de mot de passe ("pas de clé ControlSet active") et avec les suggestions de
réparation ==>
Premier objectif : sauvegarder ce qui va être modifié.
http://fspsa.free.fr/cdr-svi.htm
30/10/2010
Récupération d'une Ruche via le SVI
Page 8 sur 15
On se déplace vers le dossier Windows\System32\config à l'aide de la commande CD
Noter qu'il faut un espace entre la commande et l'argument.
Petits rappels de navigation au clavier :
- Pour remonter dans une arborescence utiliser CD ..
- Pour aller à la racine de la partition taper CD \
- Et pour changer de répertoire : CD system32\config
==>
Taper DIR pour afficher le contenu du dossier et repérer le fichier. On obtient :
Faire des copies de sauvegardes avec la commande COPY ou la commande REN
http://fspsa.free.fr/cdr-svi.htm
30/10/2010
Récupération d'une Ruche via le SVI
Page 9 sur 15
Suite au changement de nom du fichier SYSTEM avec la commande REN,
le fichier n'existe plus, en dehors de ses sauvegardes, et la place est libre pour son remplaçant.
Voici ce qu'on voit à présent avec un autre DIR :
Si on pense devoir réparer toutes les ruches, penser également à les sauvegarder .
Suggestion : sauvegarder tout le dossier config avec copy :
C:\WINDOWS\system32>copy config config.sauv
http://fspsa.free.fr/cdr-svi.htm
30/10/2010
Récupération d'une Ruche via le SVI
Fin
des
l'assaut !
Page 10 sur 15
préliminaires.
À
Plus difficile à présent, naviguer jusqu'au point de restauration.
Taper CD \ pour aller à la racine de la partition,
puis CD "system volume information" pour entrer dans le SVI.
Noter les guillemets qui sont nécessaires à cause de la présence des espaces dans le nom du répertoire.
Taper DIR pour voir le contenu et repérer le dossier _restore{suite de chiffres} qui contient les Points de
restauration.
Il est souligné en rouge dans l'image ci-dessous.
Remarquer que la largeur de l'écran étant limitée à 80 caractères, les derniers chiffres du dossier sont à la ligne
suivante.
Il va falloir entrer dans le dossier "_restore{48A2283E-44E7-4D15-83A8-5363C1862166}"
Penser à activer le clavier numérique avec la touche [Verr Num]
On ne dispose pas de la complétion de commandes comme sous Windows :o(
Par contre on peut rappeler les commandes déjà tapées en utilisant les touches flèches.
Respirer à fond, il faut taper tout ça ==>
CD _restore{48A2283E-44E7-4D15-83A8-5363C1862166}
==>
http://fspsa.free.fr/cdr-svi.htm
30/10/2010
Récupération d'une Ruche via le SVI
Page 11 sur 15
Encore une commande DIR pour voir les points de restauration.
Autant choisir le plus récent (sauf avis contraire).
Les heures sont au format US sur 12h a = ante meridiem (avant midi), p = post meridiem (après midi).
On voit que j'ai fait un Point de Restauration à 03:06p soit 15h06 (RP8) ==>
CD RP8 et de nouveau un DIR pour repérer le dossier snapshot
http://fspsa.free.fr/cdr-svi.htm
30/10/2010
Récupération d'une Ruche via le SVI
Page 12 sur 15
CD snapshot et un dernier DIR pour repérer le fichier _REGISTRY_MACHINE_SYSTEM
Le chemin est tellement long qu'il nécessite deux lignes pour afficher le prompt sur l'écran.
On est enfin dans RP8\snapshot qui contient les ruches sauvegardées dans ce Point de Restauration RP8.
Un dernier DIR va les afficher. Une commande COPY et ce sera fini pour cette ruche system.
Bien sûr, faire COPY des autres ruches si jugé nécessaire (utiliser les touches flèches pour rappeler la commande
précédente).
http://fspsa.free.fr/cdr-svi.htm
30/10/2010
Récupération d'une Ruche via le SVI
Page 13 sur 15
La victoire aux bouts des doigts !
C'est le grand moment : recopier le fichier dans System32\config avec le nom "system".
COPY _registry_machine_system c:\windows\system32\config\system
C'est fini. Taper EXIT pour redémarrer. Retirer la disquette ou le CD.
Si on a utilisé un CD d'installation de Windows, il suffit de ne pas toucher au clavier, le CD donnera la main au
disque dur.
Youpi !
http://fspsa.free.fr/cdr-svi.htm
30/10/2010
Récupération d'une Ruche via le SVI
Page 14 sur 15
On peut supprimer les sauvegardes sauv1 et sauv2 devenues inutiles :
Maintenant que Windows a démarré, il n'est pas interdit de revenir à un point de restauration (si cela fonctionne).
Si revenir à un Point de Restauration ne fonctionne pas, recopier également les autres ruches comme indiqué.
Dès que possible faire un CHKDSK /R et installer Erunt
Si le problème se répète, envisager le remplacement du disque.
Conseillé : mettre une alimentation protégée (onduleur).
http://fspsa.free.fr/cdr-svi.htm
30/10/2010
Récupération d'une Ruche via le SVI
Page 15 sur 15
Si Windows n'a pas démarré, c'est qu'il faut également restaurer la ruche SOFTWARE.
Si c'est insuffisant, recopier également les ruches SAM, SECURITY, DEFAULT comme indiqué.
Utilisez Erunt et faites des sauvegardes !
JF
Les restes du site
Première publication 30/10/2006
http://fspsa.free.fr/cdr-svi.htm
30/10/2010