Analyse Minidump
Dernière réponse : dans Le monde de Windows
Bonjour,
J'ai des ecrans bleu assez régulier même après avoir réinstaller XP Pro (j'ai juste installé l'OS et rien d'autre), je sais que mon problème vient d'un driver, mais je ne sais pas lequel :
Si quelqu'un peut m'aider.
Merci.
J'ai des ecrans bleu assez régulier même après avoir réinstaller XP Pro (j'ai juste installé l'OS et rien d'autre), je sais que mon problème vient d'un driver, mais je ne sais pas lequel :
kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************
IRQL_NOT_LESS_OR_EQUAL (a)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is usually
caused by drivers using improper addresses.
If a kernel debugger is available get the stack backtrace.
Arguments:
Arg1: c0079aec, memory referenced
Arg2: 00000002, IRQL
Arg3: 00000000, value 0 = read operation, 1 = write operation
Arg4: 804e8f05, address which referenced memory
Debugging Details:
------------------
READ_ADDRESS: c0079aec
CURRENT_IRQL: 2
FAULTING_IP:
nt!KeInitializeEvent+21
804e8f05 f60701 test byte ptr [edi],0x1
CUSTOMER_CRASH_COUNT: 1
DEFAULT_BUCKET_ID: DRIVER_FAULT
BUGCHECK_STR: 0xA
LAST_CONTROL_TRANSFER: from 804e1718 to 804e8f05
STACK_TEXT:
f28aad4c 804e1718 00000000 040ed934 00000001 nt!KeInitializeEvent+0x21
f28aad64 03b5193d badb0d00 040ed928 f2b33d98 nt!VdmFixEspEbp+0x6d
WARNING: Frame IP not in any known module. Following frames may be wrong.
f28aad68 badb0d00 040ed928 f2b33d98 f2b33dcc 0x3b5193d
f28aad6c 040ed928 f2b33d98 f2b33dcc 00000000 0xbadb0d00
f28aad70 f2b33d98 f2b33dcc 00000000 00000000 0x40ed928
f28aad74 f2b33dcc 00000000 00000000 00000000 0xf2b33d98
f28aad78 00000000 00000000 00000000 00000000 0xf2b33dcc
FOLLOWUP_IP:
nt!KeInitializeEvent+21
804e8f05 f60701 test byte ptr [edi],0x1
SYMBOL_STACK_INDEX: 0
FOLLOWUP_NAME: MachineOwner
SYMBOL_NAME: nt!KeInitializeEvent+21
MODULE_NAME: nt
IMAGE_NAME: ntoskrnl.exe
DEBUG_FLR_IMAGE_TIMESTAMP: 42250ff9
STACK_COMMAND: kb
FAILURE_BUCKET_ID: 0xA_nt!KeInitializeEvent+21
BUCKET_ID: 0xA_nt!KeInitializeEvent+21
Followup: MachineOwner
---------
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************
IRQL_NOT_LESS_OR_EQUAL (a)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is usually
caused by drivers using improper addresses.
If a kernel debugger is available get the stack backtrace.
Arguments:
Arg1: c0079aec, memory referenced
Arg2: 00000002, IRQL
Arg3: 00000000, value 0 = read operation, 1 = write operation
Arg4: 804e8f05, address which referenced memory
Debugging Details:
------------------
READ_ADDRESS: c0079aec
CURRENT_IRQL: 2
FAULTING_IP:
nt!KeInitializeEvent+21
804e8f05 f60701 test byte ptr [edi],0x1
CUSTOMER_CRASH_COUNT: 1
DEFAULT_BUCKET_ID: DRIVER_FAULT
BUGCHECK_STR: 0xA
LAST_CONTROL_TRANSFER: from 804e1718 to 804e8f05
STACK_TEXT:
f28aad4c 804e1718 00000000 040ed934 00000001 nt!KeInitializeEvent+0x21
f28aad64 03b5193d badb0d00 040ed928 f2b33d98 nt!VdmFixEspEbp+0x6d
WARNING: Frame IP not in any known module. Following frames may be wrong.
f28aad68 badb0d00 040ed928 f2b33d98 f2b33dcc 0x3b5193d
f28aad6c 040ed928 f2b33d98 f2b33dcc 00000000 0xbadb0d00
f28aad70 f2b33d98 f2b33dcc 00000000 00000000 0x40ed928
f28aad74 f2b33dcc 00000000 00000000 00000000 0xf2b33d98
f28aad78 00000000 00000000 00000000 00000000 0xf2b33dcc
FOLLOWUP_IP:
nt!KeInitializeEvent+21
804e8f05 f60701 test byte ptr [edi],0x1
SYMBOL_STACK_INDEX: 0
FOLLOWUP_NAME: MachineOwner
SYMBOL_NAME: nt!KeInitializeEvent+21
MODULE_NAME: nt
IMAGE_NAME: ntoskrnl.exe
DEBUG_FLR_IMAGE_TIMESTAMP: 42250ff9
STACK_COMMAND: kb
FAILURE_BUCKET_ID: 0xA_nt!KeInitializeEvent+21
BUCKET_ID: 0xA_nt!KeInitializeEvent+21
Followup: MachineOwner
---------
Si quelqu'un peut m'aider.
Merci.
Autres pages sur : analyse minidump
Lassé par la pub ? Créez un compte
Plantage kernel on ne peut plus courant. Le fichier concerne ne peut pas etre bogue sur le HD car il est protege.
Ton cas est cite 200.000 fois sur Google et je l'ai vu passer plus de 100 fois. Je te donne un petit topic generaliste qui va peut etre t'aider a concentrer tes recherches.
Comment des fichiers se boguent.
Tous les fichiers qui sont utilisés sur votre machine sont stockes materiellement sur votre disque dur. Mais lorsqu'ils sont en action, ils sont copiés et travaillent dans la ram.
Un fichier peut donc se boguer matériellement sur votre HD (rare) ou bien virtuellement dans la ram. Le virtuel de la ram a un support physique évidemment qui est la ram elle-même.
Souvent un plantage survient a cause d'une erreur physique de la ram TOUJOURS IRREPARABLE. A chaque fois qu'une action quelconque va devoir se servir d'une adresse defectueuse de la ram la machine va alors planter mais de maniere plus ou moins grave selon qu'il s'agisse de fichiers systeme ou bien de fichiers annexes. Memtest86 obligatoire en tout premier.
Et il y a meme pire. 2 rams peuvent passer Memtest = ne pas avoir d'erreur et mises ensemble planter = mauvaise gestion de la ram par la carte mere. Ou bien des rams qui fonctionnent très bien en single channel et vont planter en dual = rams qui ne sont pas exactement de la meme marque, du meme type et des memes reglages de latency.
Les journaux d'evenements font la difference entre les processus Systeme et les processus Applications.
Seuls les processus systeme generent des ecrans bleus. Les processus Application sont la plupart du temps "recouvrables" sans rien faire ou alors après reboot. Ils sont signalés dans DrWatson en mode texte.
Un fichier peut facilement se "boguer" dans la ram meme si celle ci est OK physiquement. Quelque chose peut l'attaquer. Virus, soft mal programme, conflit de drivers, plages de memoire qui se chevauchent etc etc etc. Et c'est le cas infiniment plus souvent qu'une corruption sur le HD.
Il ne servirait donc a rien dans ces cas de remplacer tel ou tel fichier système sur le HD (system32) dont le nom est donné par l'ecran bleu ou bien par debogage.
Il est important de signaler qu'il est très difficile d'abimer un fichier systeme du noyau protege de XP à son emplacement dans system32.
Par contre, lorsqu'un fichier dit protégé travaille dans la ram il peut etre corrompu virtuellement comme les autres vu qu'il n'est plus protégé lorqu'il est virtuel.
Les fichiers protéges de XP possedent les extensions suivantes:
cpl dll ocx sys drv ime scr ainsi que certains drivers generiques.
Mais ça ne veut pas dire que toutes les dll sont protégées, seulement celles du noyau de XP.
C'est protege par le WPF ( Windows Protection File) qui double ces fichiers a d'autres endroits, différents selon que l'on a le sp2 ou pas. Dans C:\Windows\drivercache\..... pour les drivers et dans ServicePackFiles\.....pour le reste.
Si vous voulez verifier si une dll ou driver .sys font partie du noyau protégé de XP c'est facile. Vous affichez tous les dossiers et le systeme dans les options d'affichage et dans recherche vous tapez le nom. Si ça se trouve a la fois dans system32 ou system32\drivers et dans le cache c'est que ça fait partie du noyau.
Imaginons que sous la console de recuperation DOS (car sinon XP ne va pas se laisser faire) vous supprimiez une dll hyper importante de XP: kernel32.dll. Eh bien au reboot WPF va aller recherche sa copie et la remettre dans system32.
A noter que l'on peut dans le registre désactiver WPF et dans ce cas vous pourrez supprimer (sous console) n'importe quel fichier protege et le boot ne le remettra pas. Très dangereux et réservé aux experts !
Donc lorsque vous avez affaire a un fichier PROTEGE générateur de BSOD il a très peu de risques d'abord qu'il soit attaque materiellement sur le HD (sauf par un virus) mais meme si c'était le cas il serait remis à neuf au reboot.
Et sans devoir rebooter en utilisant la commande sfc /scannow qui va comparer tous les fichiers proteges avec leur originaux. Seulement les protégés, pas les autres.
Par contre un fichier non protége meme faisant partie de Windows, et il y en a beaucoup plus, peut dans certains cas etre corrompu aussi sur le HD. Rien ne va venir le réparer et pas non plus la commande de scan. Il faudra le remplacer manuellement en l'extrayant du CD ou du web.
A noter quand meme qu'il est impossible de remplacer un fichier, meme non protége, s'il est en utilisation = Dans un tel cas il faudra travailler en sans echec ou sous console.
Trouver la cause incitatrice d'un plantage est possible avec un debogueur mais trouver la raison exacte de l'attaque sur le fichier c'est beaucoup plus ardu. Sauf si le fichier fait partie d'un logiciel rajouté et alors la c'est facile.
Citons le cas des fameux ntoskrnl (et aussi win32k). S'ils sont cités dans beaucoup de BSOD ça ne veut pas dire qu'ils sont directement responsables d'un plantage noyau mais qu'ils sont impliques comme certains autres non cités nommément ou qui n'ont pas eu le temps de s'inscrire.
Le debogueur pourrait tout aussi bien dire qu'il y a eu un plantage du systeme profond de XP sans rien nommer.
Si votre médecin détecte que vous avez la grippe = il vous a débogué, il ne pourra pas vous dire que vous avez attrapé le virus le 24 à 17h 54 au coin de la rue du Prieuré en croisant Mr Thomson qui a éternué !
Dans l'immense majorité des cas, pour trouver l'origine d'un BSOD sans devoir déboguer ou attendre la réponse on peut citer 2 lignes qui doivent couvrir 70 a 80% des causes.
1) La ram
2) Le dernier matériel/driver/soft rajouté.
Ton cas est cite 200.000 fois sur Google et je l'ai vu passer plus de 100 fois. Je te donne un petit topic generaliste qui va peut etre t'aider a concentrer tes recherches.
Comment des fichiers se boguent.
Tous les fichiers qui sont utilisés sur votre machine sont stockes materiellement sur votre disque dur. Mais lorsqu'ils sont en action, ils sont copiés et travaillent dans la ram.
Un fichier peut donc se boguer matériellement sur votre HD (rare) ou bien virtuellement dans la ram. Le virtuel de la ram a un support physique évidemment qui est la ram elle-même.
Souvent un plantage survient a cause d'une erreur physique de la ram TOUJOURS IRREPARABLE. A chaque fois qu'une action quelconque va devoir se servir d'une adresse defectueuse de la ram la machine va alors planter mais de maniere plus ou moins grave selon qu'il s'agisse de fichiers systeme ou bien de fichiers annexes. Memtest86 obligatoire en tout premier.
Et il y a meme pire. 2 rams peuvent passer Memtest = ne pas avoir d'erreur et mises ensemble planter = mauvaise gestion de la ram par la carte mere. Ou bien des rams qui fonctionnent très bien en single channel et vont planter en dual = rams qui ne sont pas exactement de la meme marque, du meme type et des memes reglages de latency.
Les journaux d'evenements font la difference entre les processus Systeme et les processus Applications.
Seuls les processus systeme generent des ecrans bleus. Les processus Application sont la plupart du temps "recouvrables" sans rien faire ou alors après reboot. Ils sont signalés dans DrWatson en mode texte.
Un fichier peut facilement se "boguer" dans la ram meme si celle ci est OK physiquement. Quelque chose peut l'attaquer. Virus, soft mal programme, conflit de drivers, plages de memoire qui se chevauchent etc etc etc. Et c'est le cas infiniment plus souvent qu'une corruption sur le HD.
Il ne servirait donc a rien dans ces cas de remplacer tel ou tel fichier système sur le HD (system32) dont le nom est donné par l'ecran bleu ou bien par debogage.
Il est important de signaler qu'il est très difficile d'abimer un fichier systeme du noyau protege de XP à son emplacement dans system32.
Par contre, lorsqu'un fichier dit protégé travaille dans la ram il peut etre corrompu virtuellement comme les autres vu qu'il n'est plus protégé lorqu'il est virtuel.
Les fichiers protéges de XP possedent les extensions suivantes:
cpl dll ocx sys drv ime scr ainsi que certains drivers generiques.
Mais ça ne veut pas dire que toutes les dll sont protégées, seulement celles du noyau de XP.
C'est protege par le WPF ( Windows Protection File) qui double ces fichiers a d'autres endroits, différents selon que l'on a le sp2 ou pas. Dans C:\Windows\drivercache\..... pour les drivers et dans ServicePackFiles\.....pour le reste.
Si vous voulez verifier si une dll ou driver .sys font partie du noyau protégé de XP c'est facile. Vous affichez tous les dossiers et le systeme dans les options d'affichage et dans recherche vous tapez le nom. Si ça se trouve a la fois dans system32 ou system32\drivers et dans le cache c'est que ça fait partie du noyau.
Imaginons que sous la console de recuperation DOS (car sinon XP ne va pas se laisser faire) vous supprimiez une dll hyper importante de XP: kernel32.dll. Eh bien au reboot WPF va aller recherche sa copie et la remettre dans system32.
A noter que l'on peut dans le registre désactiver WPF et dans ce cas vous pourrez supprimer (sous console) n'importe quel fichier protege et le boot ne le remettra pas. Très dangereux et réservé aux experts !
Donc lorsque vous avez affaire a un fichier PROTEGE générateur de BSOD il a très peu de risques d'abord qu'il soit attaque materiellement sur le HD (sauf par un virus) mais meme si c'était le cas il serait remis à neuf au reboot.
Et sans devoir rebooter en utilisant la commande sfc /scannow qui va comparer tous les fichiers proteges avec leur originaux. Seulement les protégés, pas les autres.
Par contre un fichier non protége meme faisant partie de Windows, et il y en a beaucoup plus, peut dans certains cas etre corrompu aussi sur le HD. Rien ne va venir le réparer et pas non plus la commande de scan. Il faudra le remplacer manuellement en l'extrayant du CD ou du web.
A noter quand meme qu'il est impossible de remplacer un fichier, meme non protége, s'il est en utilisation = Dans un tel cas il faudra travailler en sans echec ou sous console.
Trouver la cause incitatrice d'un plantage est possible avec un debogueur mais trouver la raison exacte de l'attaque sur le fichier c'est beaucoup plus ardu. Sauf si le fichier fait partie d'un logiciel rajouté et alors la c'est facile.
Citons le cas des fameux ntoskrnl (et aussi win32k). S'ils sont cités dans beaucoup de BSOD ça ne veut pas dire qu'ils sont directement responsables d'un plantage noyau mais qu'ils sont impliques comme certains autres non cités nommément ou qui n'ont pas eu le temps de s'inscrire.
Le debogueur pourrait tout aussi bien dire qu'il y a eu un plantage du systeme profond de XP sans rien nommer.
Si votre médecin détecte que vous avez la grippe = il vous a débogué, il ne pourra pas vous dire que vous avez attrapé le virus le 24 à 17h 54 au coin de la rue du Prieuré en croisant Mr Thomson qui a éternué !
Dans l'immense majorité des cas, pour trouver l'origine d'un BSOD sans devoir déboguer ou attendre la réponse on peut citer 2 lignes qui doivent couvrir 70 a 80% des causes.
1) La ram
2) Le dernier matériel/driver/soft rajouté.
Oula merci pour cette réponse ultra complète, c'est super sympa.
En fait, j'ai débranché tous les drivers, il ne reste que :
- carte mère : MSI KT3-Ultra 2 + Athlon XP 2000 +
- 2 disque dur
- 2 graveur DVD
- 2 barette de RAM
(pas de carte son, pas de modem, pas d'imprimante, ...)
et j'ai relancé l'install de XP puis installé Drive Image 7 (et c'est lors de la sauvegarde du système que ça plante (en général, mais pas tout le temps)).
Avant j'avais 1 barette de 512 Mo de RAM et j'ai rajouter une autre de 512, c'est peut-être la cause de mon problème (pourtant j'avais fait un memtest pendant plusierus heures sans erreurs !).
Je vais donc ré-essayer ceci :
- formattage complet du disque dur en NTFS
- réinstall de XP (avec une seule barette de RAM)
- install de Drive Image 7
- essayer de faire une sauvegarde avec Drime Image
si le problème persiste, je pense changer de carte mère car ça fait un bout de temps que j'essaie de résoudre ce problème.
Encore merci pour ta réponse.
En fait, j'ai débranché tous les drivers, il ne reste que :
- carte mère : MSI KT3-Ultra 2 + Athlon XP 2000 +
- 2 disque dur
- 2 graveur DVD
- 2 barette de RAM
(pas de carte son, pas de modem, pas d'imprimante, ...)
et j'ai relancé l'install de XP puis installé Drive Image 7 (et c'est lors de la sauvegarde du système que ça plante (en général, mais pas tout le temps)).
Avant j'avais 1 barette de 512 Mo de RAM et j'ai rajouter une autre de 512, c'est peut-être la cause de mon problème (pourtant j'avais fait un memtest pendant plusierus heures sans erreurs !).
Je vais donc ré-essayer ceci :
- formattage complet du disque dur en NTFS
- réinstall de XP (avec une seule barette de RAM)
- install de Drive Image 7
- essayer de faire une sauvegarde avec Drime Image
si le problème persiste, je pense changer de carte mère car ça fait un bout de temps que j'essaie de résoudre ce problème.
Encore merci pour ta réponse.
Lassé par la pub ? Créez un compte
