Entretenir et réparer votre système d'exploitation Windows XP

D - Création et analyse d'un Dump

4 - L’analyse

C'est l'étape la plus importante et la plus délicate. Pour analyser le dump, lancez "windbg.exe".

Dans le Menu "File", cliquez sur "Open Crash Dump",
Dans la fenêtre de chargement qui s'ouvre, sélectionnez un fichier ".dmp". Pour rappel, puisque lors du paramétrage vous avez laissé les options par défaut, les minidump sont stockés dans "C:\WINDOWS\Minidump" et les dump's complets de la mémoire du noyau dans "C:\WINDOWS".
Dans l'exemple ci dessous, nous avons sélectionné le fichier "Mini111206-01.dmp" créé lors du crash volontaire que nous avons provoqué et que le système a écrit dans "C:\WINDOWS\Minidump\Mini111206-01.dmp ".

A partir de là, que va faire Windbg ?

Il charge le "crash dump" que nous lui avons indiqué,
En fonction de la nature du fichier "*.dmp", il va télécharger sur Internet les symboles nécessaires à l'analyse de ce fichier. Rappelons que l'URL de téléchargement a été indiquée à Windbg lors de l'installation (voir page précédente). Cette URL est :
"srv*c:\symbols*http://msdl.microsoft.com/download/symbols ". Le dossier "C:\Symbols" resté vide jusqu'à présent s'est enrichi de nouveaux fichiers que l'on peut visualiser à l'aide de l'explorateur Windows.

Enfin, il ouvre une nouvelle fenêtre résumant le succès de cette opération et une première information sur le crash :

4/1 - La commande "!analyze -v"

Nous voyons tout de suite que Windbg, quand il a chargé le dump, a relevé une faute commise par un fichier "i8042prt.sys". Le problème semble cerné dans ce cas. Mais souvent ce n'est pas si évident que cela. Il faut donc demander à Windbg de parler un peu plus. La commande "!analyze -v" qu'i faut saisir en bas de la fenêtre après "kd >" va permettre d'avoir des informations supplémentaires et savoir par exemple qui a généré la faute. Laissons tomber notre "crash" manuel et volontaire et voyons ce qui peut se passer dans des cas réels.

Premier champ de la commande !analyze -v

Une fois la commande "!analyze -v" lancée, nous avons une première indication et si vous avez bien suivi ce que nous rapportions dans la page précédente, vous aurez compris que :

"DRIVER_IRQL_NOT_LESS_OR_EQUAL" est le nom symbolique de l'erreur,
"d1" indiqué entre parenthèses, est le "bug check code", le code hexadécimal de cette erreur, qu'il faut traduire en "0x000000d1" ou "0xD1".

Dans ce cas précis, nous sommes face à un driver (pilote) qui a tenté d'utiliser une adresse invalide. Si vous venez juste d'installer ou de mettre à jour un pilote, vous n'êtes pas loin de la solution du problème ! Mais pas de précipitation ! Voyons ce que "!analyse -v" nous dit en plus :

Ce sont les 4 arguments du "bug check code" (voir page précédente). Le driver en question a tenté d'accéder à l'adresse mémoire 0x00000004 (Arg1 : 00000004) en demandant une interruption de haute priorité (Arg2 : 00000002), échec d'écrire (Arg3 : 00000001) dans un espace mémoire dont l'adresse est f832035c (Arg4 : f832035c) ! Visiblement ce pilote n'est pas bon car il ne respecte pas les règles ! Le BSOD l'aurait indiqué ainsi :

Nous ne détaillerons pas tous les champs qui suivent vu leur caractère plus ou moins technique et qui sont de peu d'utilité pour le dépannage. Nous allons par conséquent dérouler les infos pour arriver à :

Il s'agit d'un driver (pilote) puis à :

qui nous identifie le fautif : un port USB dont le pilote est "USBPORT.SYS". Nous tenons le coupable ! Et Windbg va plus loin encore puisqu'en affichant :

et si vous êtes connectés à Internet, le débogueur essaye d'atteindre une base de données de résolutions des problèmes connus mises à jour par Microsoft et contenant des centaines de pages Web. Si une solution est trouvée pour votre problème, il vous en indique l'URL qui, dans ce cas est : "http://oca.microsoft.com/resredir.asp?sid=62&State=1 ". Il n'y a plus qu'à aller récupérer l'information ou le hotfix. Dans le cas contraire, il faudra chercher ... Nous verrons comment dans la partie "Correction du problème".

4/2 - La commande "!process"

La recherche peut encore être poussée plus loin si on souhaite trouver un processus associé à ce pilote. On utilise la commande "!process" qui permet de voir les processus présents en mémoire. En les listant tous il devient possible de repérer celui qui nous intéresse. Pour cela les paramètres à fournir "!process" sont nuls, ce qui donne "!process 0 0", comme le montre l'exemple ci-dessous :

Résultat généré par la commande !process 0 0

Pour chaque processus listé, nous disposons alors des informations permettant de l'identifier avec précisons. Prenons comme exemple le processus surligné en bleu dans le tableau ci-dessus et relevons ce qui peut être utile :

PROCESS 809258e0 : Le numéro hexadécimal de huit-caractère après que le mot PROCESS indique l'adresse du bloc d'EPROCESS. Ici, l'adresse de processus est donc "0x809258E0".
Cid : 0044 : Est le PID (PROCESS ID) ou l'identificateur du processus : "0x44" dans notre exemple.
Image : SPOOLSS.EXE : Représente le nom du processus : "spoolss.exe" tel que nous pouvoir le voir dans le gestionnaire de tâches.

Le processus obtenu on peut encore développer les informations le concernant, toujours à l'aide de "!process" mais cette fois en précisant les indicateurs. Au lieu de "!process 0 0", nous mentionnerons, à la place du premier "0", soit son adresse, soit son PID soit son nom. Le deuxième "0" est généralement fixé à "7" pour obtenir un maximum d'informations. Par exemple : "!process 809258e0 7", "!process 0044 7" ou encore "!process spoolss.exe 7".

Voilà pour notre analyse. Elle vous aidera dans pas mal de cas et quasiment systématiquement pour les problèmes de driver.

5 - Correction du problème

Notre très sympathique Windbg a cerné le nom du pilote à l'origine du problème et éventuellement un processus associé mais il n'a pas trouvé de correctif chez Microsoft. Il ne dit pas non plus à quoi peut correspondre ce driver. Pour quand même rétablir la situation, plusieurs solutions possibles à tenter successivement :

5/1 - recherche dans les disques :

Faire une recherche dans les disques pour connaître l'emplacement du pilote. Démarrer, Rechercher puis Tous les fichiers et tous les dossiers. Saisir le nom du pilote "usbport.sys" et "Rechercher" ! Une fois trouvé, clic droit dessus puis "Propriétés".

Une visite sur le site du fabriquant permet de savoir s'il existe une mise à jour ou un patch.

5/2 - Recherche dans le Gestionnaire de périphériques :

Poste de travail, Propriétés, Matériel, Gestionnaire de périphériques. En règle générale, si un pilote fonctionne mal, le gestionnaire de périphérique le signale. Si c'est le cas, vérifier et éventuellement réinstaller. Si Windows ne parvient pas à réinstaller, recueillir les informations sur le matériel. Un exemple :

Sélectionner un matériel, clic droit puis "Propriétés", "Pilote" et "Détails du pilote".

Munis de ces informations, aller sur le site du fabriquant et télécharger la bonne version, la mise à jour ou le patch.

Liste des pilotes concernant un matériel

5/3 - Appel à Microsoft

Le problème peut également être soumis aux techniciens de Microsoft. Sur le site "http://oca.microsoft.com", il est possible de déposer ses minidump's. Ils seront analysés et une réponse pertinente est proposée. Suite à un crash, Windows XP affiche généralement une boîte de dialogue demandant d'envoyer le rapport d'erreur à Microsoft. Il est judicieux de le faire car non seulement cela permet à Microsoft de savoir d'où vient le problème et le corriger, mais aussi de demander aux constructeurs de matériels d'améliorer leurs drivers.

5/3 - Recherche sur le Net

Si enfin le sort s'acharne et qu'il s'avère impossible de savoir à quoi correspond le pilote signalé fautif par Windbg, le dernier recours c'est la recherche sur Google qui fournira obligatoirement une réponse.

6 - Conclusion

Utiliser les dump's pour résoudre les problèmes rencontrés sous Windows XP n'est pas, comme nous venons de le voir, une opération insurmontable. Elle reste à la portée de tous, moyennant un peu d'attention et de méthode. Mais mieux vaut prévenir que guérir et la règle à observer consiste à ne mettre dans sa machine que des périphérique de bonne qualité et compatibles Windows XP. De nombreux problèmes seront ainsi évités.
Le constat à faire c'est que tout est facile (ou du moins possible ...) à partir du moment où l'on peut accéder à ses disque. Que ce soit pour lancer la console de récupération ou pour analyser un dump, il est obligatoire d''être sur les lieux du crime pour pouvoir mener son enquête et arrêter le coupable. Il faut également être en possession de l'armement nécessaire, en l'occurrence le CD d'installation de Windows XP !

Mais, direz-vous, tout cela me rebute, c'est trop compliqué et en plus, je n'ai pas de CD Windows XP ! Alors ? C'est "fichu" ?

Rassurez vous ! Ce n'est pas encore "fichu" ! Il existe d'autres moyens pour vous éviter une reinstallation avec formatage et donc perte de données ! Nous verrons cela dans d'autres chapîtres à venir.

Archives

© - Copyright l'Anneau de Sable - Septembre 2006

Nos Visiteurs en live

compteur visite

Quelques codes Erreur de l'écran bleu de la mort (BSod)

Stop 0X00008E ou PFN-LIST-CORRUPT

Essayez en réduisant la fréquence microprocesseur. Si cela fonctionne correctement, vous avez le choix entre différentes solutions :
Changez les paramètres du Bios en jouant sur la fréquence de Bus et le coefficient multiplicateur (afin de baisser la fréquence dévolue aux autres systèmes de bus).
Vérifiez la compatibilité entre votre carte mère et le microprocesseur monté dessus.

Stop 0x0000009C (adresse, adresse,adresse,adresse) "MACHINE_CHECK_EXCEPTION"

C’est le signe d’un problème matériel sérieux. En règle générale, un ventilateur de micro-processeur défectueux ou insuffisant ...
Un nettoyage du ventilateur d'alimentation suffit généralement à résougre le problème.

Stop 0x0000009F ou Stop 0x9F ou DRIVER_POWER_STATE_FAILURE

Vérifiez si une application, pilote de périphériques ou services ne sont pas à la source de cette erreur. Si le message apparaît quand votre système entre en veille prolongée, localisez puis faites une mise à jour du périphérique en cause.
Le problème peut se poser à la fermeture de Windows. Le curseur de la souris est présent mais statique, le clavier ne répond plus, votre écran reste sur une page blanche ou présente différents bugs d’affichage.
Ce type d'erreur provient du fait qu’un périphérique ou un composant de votre ordinateur n’est pas compatible avec la norme ACPI et ne répond plus aux demandes du système. Localisez le pilote de périphérique fautif.
La dernière version de NORTON GHOST 9.0 provoque ce type d'erreur...

Stop 0x000000BE ou Stop 0xBE ou ATTEMPTED_WRITE_TO_ READONLY_MEMORY

Cette erreur relève généralement d’un pilote de périphérique obsolète, d’un service ou d’un firmware incompatible qui tentent d'écrire dans la mémoire morte (ROM). Mettre à jour ou désinstaller le ou les pilotes intégrés avant l'apparition de l'erreur.

Stop 0x000000C2 ou Stop 0xC2 ou BAD_POOL_CALLER

Procédez à une vérification de vos barrettes mémoire. Si cela ne suffit pas, il faut hélas effectuer une réinstallation de Windows XP en supprimant toutes les partitions puis en les recréant et en choisissant un formatage long, afin de marquer les secteurs défectueux présents sur le disque dur.

Stop 0x000000CE ou Stop 0xCE ou DRIVER_UNLOADED_WITHOUT_ CANCELLING_PENDING_ OPERATIONS

Erreur causée généralement par un pilote de périphérique, un service ou un firmware obsolète. Si le message pointe vers une catégorie de périphériques, il s'agit probablement d'un problème matériel. Essayez dans un premier temps de faire une mise à jour du Périphérique concerné ou de revenez à la version précédente.

STOP : 0x000000CE (0xHEXNUM1, 0xXXXXXXX, 0xXXXXXXX , 0xXXXXXXX) in DXAPI.SYS

Ce problème peut se poser sur un ordinateur possédant une carte vidéo dotée de la fonctionnalité de tuner TV ou de capture vidéo et si une version Windows 2000 d' un pilote de DVD ou de tuner TV remplace la version Windows XP de ce pilote. Une mise à jour des pilotes peut généralement résoudre l'anomalie.

Stop 0x000000D1 ou Stop 0xD1 ou DRIVER_IRQL_NOT_LESS_OU_EQUAL

La cause en est un pilote de périphérique, un service incompatible. Si ce problème survient au moment de la fermeture de Windows et que vous avez plusieurs périphériques USB branchés, installez le dernier Service pack. Si l'erreur signale le fichier Kbdclass.sys cela provient d’un pilote ou d'un programme gestionnaire de clavier non compatible.
Un pare-feu de connexion Internet peut provoquer également ce type d'erreur. vous devez dans ce cas procéder à une mise à jour du programme.
Si l'erreur STOP 0X000000D1 incrimine le fichier "USBUHCI.SYS" et ce uniquement lors de la gravure d'un CD-R ou pendant la lecture des DVD-ROM, Pas de panique ! Il suffit de faire une mise à jour du BIOS.

STOP 0x000000D1 DRIVER_IRQL_NOT_LESS_OR_ EQUAL

Si vous avez un ordinateur portable avec un processeur "Intel M" et si le problème se pose après l'installation du Service Pack 2 procédez comme ceci :
1 - Accédez au Gestionnaire de périphériques
2 - Double-cliquez sur la branche Processeurs puis sur votre processeur
3 - Cliquez sur l'onglet Pilotes puis sur le bouton Détails du pilote...
Si le fichier listé est celui-ci : "Gv3.sys" suivez cette procédure :
1 - Cliquez sur le bouton Mettre à jour le pilote...
2 - Cochez le bouton Installer le logiciel automatiquement (recommandé)
Laissez vous guider pour le reste et n'acceptez pas le lancement de Windows Update.
Le fichier "Gv3.sys" sera remplacé par "Intelppm.sys" qui est inclus dans le Service Pack 2.

Stop 0x000000EA ou Stop 0xEA ou THREAD_STUCK_IN_DEVICE_ DRIVER

Il vous faut effectuer une mise à jour de votre carte graphique.

Stop 0x000000ED ou Stop 0xED ou UNMOUNTABLE_BOOT_VOLUME

Démarrez à partir de votre CD-ROM XP de telle façon que vous puissiez accéder à la console de récupération. En ligne de commande, tapez : "Chkdsk c: /r /p".
Validez par Entrée et patientez une bonne demi-heure … Puis : "Fixboot".
La première commande analyse et corrige les erreurs sur votre disque tandis que la seconde écrit un nouveau secteur d’amorçage. Attention : Validez les nombreux messages d’avertissement de Windows en appuyant sur la lettre "o" et Entrée (« voulez-vous vraiment écrire un nouveau secteur de démarrage sur la partition? ", etc.).

Stop : 0x000000F2 Une tempête d’interruption a causé l’arrêt du système

C’est généralement un problème de pilote de périphérique dont il vous faut faire la mise à jour.

STOP: c0000135 (composant introuvable) Cette application n a pas pu démarrer car winsrv est introuvable. La réinstallation de cette application peu corriger ce problème.

Windows a publié un correctif concernant ce problème. La solution de contournement est la suivante :
1 - En utilisant la Console de récupération, désinstallez le Service Pack 2.
2 - Redémarrez en mode sans échec puis dans le Registre supprimez les entrées faisant référence à TV media présentes dans les clés suivantes :
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\Windows\ CurrentVersion\Run
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\Windows\ CurrentVersion\RunOnce
HKEY_CURRENT_USER\SOFTWARE\ Microsoft\Windows\ CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\ Microsoft\Windows\ CurrentVersion\RunOnce
3 - Supprimez ces clés :
HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\CLSID\ {707E6F76-9FFB-4920-A976- EA101271BC25}
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\Windows\ CurrentVersion\Explorer\Browser Helper Objects\ {707E6F76-9FFB-4920-A976- EA101271BC25}
4 - Cliquez sur Démarrer/Exécuter puis saisissez : appwiz.cpl
5 - Supprimez toutes références au programme TV Media
6 - Dans l'Explorateur Windows supprimez le dossier TV media présent dans Program Files.
7 - Redémarrez puis procédez à la réinstallation du Service Pack 2.

Stop 0xC0000218_HANDLED_M

Si cela survient après une installation de Windows XP, cela peut être révélateur d'un problème de disque dur.

Stop 0xC000021A ou STATUS_SYSTEM_PROCESS_ TERMINATED

C’est le plus souvent un problème d’Autorisations qui fait que le compte "Système" n’a plus les permissions pour (en quelque sorte) accéder à lui-même … (les fichiers et répertoires systèmes) … A priori, il vous faut réinstaller Windows.

Stop 0xC0000221 ou STATUS_IMAGE_CHECKSUM_MISMATCH ou STOP C0000221 Unknown Hard ERROR

Erreur : STOP : C0000221 ou 0xC0000221 erreur matérielle inconnue Chemin Nom_fichier - ou - C:`\Winnt\System32\Ntdll.dll (ou un autre fichier / pilote spécifique) - ou - STOP : 0xC0000221 STATUS_IMAGE_CHECKSUM_ MISMATCH Chemin Nom_fichier
Ce problème peut se produire lorsque vous installez un pilote inapproprié pour votre matériel. Il vous faut soit revenir à la version précédente de ce périphérique soit le désinstaller et ce en mode sans échec.
Si le message d’erreur fait référence à un fichier. Lancez une extraction de ce fichier, si besoin est, à partir de la console de récupération. Si le fichier est suivi du signe _ vous devez utiliser la commande expand sinon vous pouvez vous servir de la commande copy. Dans la plupart des cas, il est plus sûr de renommer le fichier placé sur le disque dur avant d’en extraire une nouvelle copie.

STOP: C0000221 - Bad Image Checksum in ModuleName au moment de faire une mise à jour vers Windows XP

Soit vous avez un problème de barrette mémoire soit il vous faut procéder à l’extraction du fichier "user32.dll" à partir du CD-ROM Windows XP. Il faut au préalable renommer l’ancienne version placée dans "c:\windows\system32". Une autre solution consiste à redémarrer à partir de votre CD-ROM d’installation et se contenter de suivre les instructions ... Mais globalement cela relève d’un problème de barrette mémoire.

STOP: C0000221 unknown hard error Chemin nom de fichier
STOP: 0xC0000221 unknown hard error C:...
STOP: 0xC0000221 STATUS_IMAGE_CHECKSUM_ MISMATCH Chemin nom de fichier

Ce problème survient si une DLL ou un pilote sont corrompus. Soit, vous remplacez le fichier corrompu soit, vous procédez à une réinstallation - réparation de Windows.

Stop 0x0000000A IRQL_NOT_LESS_OR_EQUAL

Ce message est dû à une incompatibilité logicielle ou à un problème de configuration matérielle. S'il intervient quand vous changez le type d'alimentation de votre portable, téléchargez et installez le dernier Service Pack.
Si ce message apparaît quand vous utilisez la bascule rapide des utilisateurs, cela peut être dû à un logiciel de gestion de clavier incompatible. Procédez dans ce cas à une mise à jour du logiciel. Une solution de contournement consiste à le désinstaller en utilisant le module Ajout/Suppression de programmes du Panneau de configuration. Si l'erreur intervient alors que vous tentez de fermer ou de redémarrer votre système, procédez à une désinstallation d'Easy CD Creator 5.0.
Le même type d'erreur peut survenir si vous possédez une carte son SoundBlaster Live. Procurez-vous dans ce cas les derniers pilotes disponibles sur le site du constructeur.
Si le message apparaît pendant l'installation de Windows et mentionne le fichier acpi.sys ou tcpip.sys ou Ntfs.sys ou viade.sys, relancez l'installation en paramétrant votre BIOS sur les réglages minimaux.
Le problème peut être posé par la version 4.5 de l’antivirus proposée par l'éditeur Kaspersky.
Le problème peut aussi globalement relever d'un réglage des performances de votre mémoire vive. Par exemple, si vous possédez une carte mère Abit KG7, ouvrez dans le BIOS le menu SoftMenu III, puis paramétrez la commande FSB rate (CPU :SDRAM :PCI) de 3:3:1 à 4:4:1.
Si le problème se pose pendant une connexion Internet, procédez à une mise à jour du pilote du modem ADSL. Il faut pour cela se rendre sur le site de votre fournisseur d'accès Internet.
"Ntfs.sys - Page fault_in_nonpaged_area" : essayer de désactiver les options de mémoire Bios telles que la mise en cache ou l'ombrage." Là c'est clairement un problème sur les barrettes mémoire.
Si un test des barrettes mémoire ne donne aucun résultat orientez-vous sur un problème de micro-processeur.

Créer régulièrement des sauvegardes ne coûte rien, juste un peu de temps ... mais cela peut rapporter gros !