ANAVEM
FrancaisEnglish
ANAVEM
Languageen
System administrator analyzing Windows Event Viewer showing critical system errors on monitoring dashboard
Event ID 25ErrorApplication PopupWindows

ID d'événement Windows 25 – Fenêtre contextuelle de l'application : Processus système terminé de manière inattendue

L'ID d'événement 25 indique qu'un processus système critique s'est terminé de manière inattendue, déclenchant le rapport d'erreurs Windows. Cet événement signale généralement des problèmes de pilote, une corruption de la mémoire ou une instabilité du système nécessitant une enquête immédiate.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 25Application Popup 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 25 représente l'un des événements de surveillance système les plus critiques dans les environnements Windows. Lorsque cet événement se déclenche, il signale qu'un processus essentiel au fonctionnement du système s'est écrasé de manière inattendue, compromettant potentiellement la stabilité et la fiabilité du système.

La source Application Popup génère cet événement via l'infrastructure de rapport d'erreurs Windows, qui surveille en continu les processus système pour une terminaison anormale. L'événement capture des informations médico-légales détaillées, y compris le nom du module défaillant, le nom de l'application, les informations de version et les adresses mémoire spécifiques où l'échec s'est produit.

Cet événement diffère des plantages d'applications standard car il suit spécifiquement les processus que Windows considère comme critiques pour le fonctionnement du système. Ceux-ci incluent les services système, les pilotes en mode noyau et les composants principaux de Windows. Lorsque de tels processus échouent, Windows enregistre immédiatement l'ID d'événement 25 pour préserver les informations de diagnostic avant de tenter une récupération ou un redémarrage du système.

La structure des données de l'événement comprend plusieurs champs : nom de l'application, version de l'application, nom du module, version du module, adresse de décalage et code d'exception. Ces champs fournissent une piste médico-légale que les administrateurs expérimentés utilisent pour identifier les pilotes problématiques, le matériel défectueux ou la corruption du système. Les codes d'exception suivent les codes d'erreur standard de Windows, avec des valeurs courantes indiquant des violations d'accès, des débordements de pile ou des instructions illégales.

Dans les environnements d'entreprise, les modèles d'ID d'événement 25 révèlent souvent des problèmes systémiques affectant plusieurs machines, tels que des mises à jour de pilotes problématiques, des défaillances de lots de matériel ou des campagnes de logiciels malveillants ciblant les processus système.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Pilotes de périphériques défectueux : Pilotes en mode noyau avec des fuites de mémoire, des débordements de tampon ou des problèmes de compatibilité provoquant des plantages de processus système
  • Défaillances matérielles : Modules RAM défectueux, processeurs surchauffés ou dispositifs de stockage défaillants corrompant les processus système
  • Corruption de la mémoire : Corruption de la mémoire système due à des problèmes matériels ou des bogues logiciels affectant les processus critiques
  • Interférence de logiciels malveillants : Rootkits ou logiciels malveillants avancés ciblant les processus système pour échapper à la détection
  • Corruption de fichiers système : Fichiers système Windows ou entrées de registre corrompus provoquant des échecs d'initialisation des processus
  • Épuisement des ressources : Système à court de mémoire, de poignées ou d'autres ressources provoquant la terminaison des processus
  • Conflits de logiciels tiers : Logiciels de sécurité, utilitaires système ou pilotes en conflit avec les processus Windows
  • Mises à jour Windows : Mises à jour système problématiques introduisant de l'instabilité ou des problèmes de compatibilité
Méthodes de résolution

Étapes de dépannage

01

Analyser les détails des événements et les journaux système

Commencez par examiner les détails de l'ID d'événement 25 pour identifier le processus défaillant et recueillir des informations de diagnostic initiales.

Étape 1 : Ouvrez l'Observateur d'événements et accédez à Journaux WindowsApplication. Filtrez pour l'ID d'événement 25 en utilisant la commande PowerShell suivante :

Get-WinEvent -FilterHashtable @{LogName='Application'; Id=25} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

Étape 2 : Examinez les détails de l'événement pour obtenir des informations clés, y compris le nom de l'application, le nom du module et le code d'exception. Recherchez des motifs dans le timing et les processus affectés.

Étape 3 : Recoupez avec les événements du journal Système autour de la même période :

$startTime = (Get-Date).AddHours(-24)
Get-WinEvent -FilterHashtable @{LogName='System'; StartTime=$startTime} | Where-Object {$_.Id -in @(1001, 1000, 6008, 41)} | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

Étape 4 : Vérifiez les journaux de rapport d'erreurs Windows pour obtenir des informations supplémentaires sur les vidages sur incident :

Get-ChildItem "C:\ProgramData\Microsoft\Windows\WER\ReportQueue" -Recurse | Sort-Object LastWriteTime -Descending | Select-Object -First 10
Astuce pro : Documentez les noms exacts de l'application et du module à partir des détails de l'ID d'événement 25, car ils guideront votre enquête sur des pilotes ou des composants système spécifiques.
02

Exécuter le Vérificateur de fichiers système et le Diagnostic de la mémoire

Effectuez des vérifications complètes de l'intégrité du système pour identifier et réparer les fichiers système corrompus ou les problèmes de mémoire.

Étape 1 : Exécutez le Vérificateur de fichiers système pour détecter et réparer les fichiers système corrompus :

sfc /scannow

Étape 2 : Si SFC trouve des problèmes, exécutez DISM pour réparer l'image Windows :

DISM /Online /Cleanup-Image /RestoreHealth

Étape 3 : Planifiez un test de diagnostic de la mémoire pour vérifier les problèmes de RAM :

mdsched.exe

Étape 4 : Après la fin du test de mémoire, vérifiez les résultats dans le Visualiseur d'événements :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=1201} -MaxEvents 5 | Format-List

Étape 5 : Exécutez un contrôle complet de l'état du système :

Get-ComputerInfo | Select-Object WindowsProductName, WindowsVersion, TotalPhysicalMemory, CsProcessors
Avertissement : Les tests de diagnostic de la mémoire nécessitent un redémarrage du système et peuvent prendre 15 à 30 minutes pour se terminer selon la taille de la RAM.
03

Enquêter sur les problèmes de pilote et de matériel

Concentrez-vous sur l'identification des pilotes ou des composants matériels problématiques qui peuvent causer des échecs de processus système.

Étape 1 : Générez un rapport complet des pilotes :

Get-WmiObject Win32_PnPSignedDriver | Select-Object DeviceName, DriverVersion, DriverDate, IsSigned | Sort-Object DriverDate -Descending | Export-Csv "C:\temp\drivers.csv"

Étape 2 : Vérifiez les installations ou mises à jour récentes de pilotes :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=7045} -MaxEvents 20 | Where-Object {$_.TimeCreated -gt (Get-Date).AddDays(-7)}

Étape 3 : Examinez le Gestionnaire de périphériques pour les appareils problématiques :

Get-WmiObject Win32_PnPEntity | Where-Object {$_.Status -ne "OK"} | Select-Object Name, Status, PNPDeviceID

Étape 4 : Vérifiez la température du système et la santé du matériel à l'aide de PowerShell :

Get-WmiObject -Namespace "root/wmi" -Class MSAcpi_ThermalZoneTemperature | Select-Object InstanceName, @{Name="Temperature";Expression={($_.CurrentTemperature/10)-273.15}}

Étape 5 : Passez en revue les mises à jour récentes de Windows qui pourraient avoir introduit des problèmes de pilotes :

Get-HotFix | Where-Object {$_.InstalledOn -gt (Get-Date).AddDays(-30)} | Sort-Object InstalledOn -Descending
Astuce pro : Portez une attention particulière aux pilotes installés dans les 48 heures suivant la première occurrence de l'ID d'événement 25, car ce sont les principaux suspects de l'instabilité du système.
04

Analyser les vidages sur incident et les compteurs de performance

Effectuer une analyse avancée en utilisant les vidages sur incident et les données de performance du système pour identifier les causes profondes.

Étape 1 : Configurer le système pour générer des vidages sur incident pour l'analyse :

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\CrashControl" -Name "CrashDumpEnabled" -Value 1
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\CrashControl" -Name "DumpFile" -Value "C:\Windows\MEMORY.DMP"

Étape 2 : Activer la collecte des vidages sur incident de processus :

New-Item -Path "HKLM:\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps" -Force
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps" -Name "DumpType" -Value 2

Étape 3 : Surveiller les compteurs de performance du système pour l'épuisement des ressources :

Get-Counter "\Memory\Available MBytes", "\Processor(_Total)\% Processor Time", "\System\Processor Queue Length" -SampleInterval 5 -MaxSamples 12

Étape 4 : Vérifier les fuites de poignées et de mémoire dans les processus système :

Get-Process | Sort-Object Handles -Descending | Select-Object -First 10 Name, Handles, WorkingSet, VirtualMemorySize

Étape 5 : Analyser les vidages sur incident de Windows Error Reporting :

Get-ChildItem "C:\ProgramData\Microsoft\Windows\WER\ReportArchive" -Recurse -Filter "*.wer" | Sort-Object LastWriteTime -Descending | Select-Object -First 5
Avertissement : L'analyse des vidages sur incident nécessite un espace disque important et peut affecter la performance du système pendant la collecte.
05

Dépannage avancé avec Process Monitor et analyse du registre

Utilisez des outils de diagnostic avancés pour tracer le comportement des processus et identifier les problèmes au niveau du système causant l'ID d'événement 25.

Étape 1 : Téléchargez et configurez Process Monitor pour capturer l'activité du système lors des plantages. Définissez des filtres pour le processus défaillant identifié dans l'ID d'événement 25.

Étape 2 : Vérifiez les clés de registre critiques pour la corruption ou les modifications non autorisées :

Test-Path "HKLM:\SYSTEM\CurrentControlSet\Services"
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager" -Name "PendingFileRenameOperations" -ErrorAction SilentlyContinue

Étape 3 : Examinez les programmes de démarrage et les services système qui pourraient être en conflit :

Get-CimInstance Win32_StartupCommand | Select-Object Name, Command, Location, User
Get-Service | Where-Object {$_.Status -eq "Running" -and $_.StartType -eq "Automatic"} | Sort-Object Name

Étape 4 : Vérifiez l'activité des malwares ou des rootkits à l'aide de PowerShell :

Get-Process | Where-Object {$_.ProcessName -notmatch "^(System|Idle|csrss|winlogon|services|lsass|svchost)$"} | Select-Object Name, Id, Path, Company

Étape 5 : Créez un rapport système complet pour une analyse plus approfondie :

msinfo32 /report "C:\temp\systeminfo.txt"
Get-ComputerInfo | Out-File "C:\temp\computerinfo.txt"
Get-EventLog -LogName System -Newest 100 | Export-Csv "C:\temp\systemevents.csv"
Astuce pro : Exécutez Process Monitor lors du démarrage du système pour capturer les échecs de processus précoces qui pourraient ne pas être enregistrés ailleurs.

Aperçu

L'ID d'événement 25 de la source Application Popup se déclenche lorsque Windows détecte qu'un processus système critique s'est terminé de manière inattendue. Cet événement fait partie du Windows Error Reporting (WER) et indique une instabilité système grave pouvant entraîner des écrans bleus, des plantages d'applications ou une défaillance complète du système.

L'événement apparaît généralement dans le journal des applications et contient des détails sur le processus qui a planté, le code d'exception et les adresses mémoire impliquées. Contrairement aux plantages d'applications utilisateur, l'ID d'événement 25 suit spécifiquement les échecs de processus au niveau système que Windows considère comme critiques pour le fonctionnement du système.

Cet événement est souvent corrélé à des problèmes de pilotes, des défaillances matérielles, une corruption de la mémoire ou une interférence de logiciels malveillants. Le moment et la fréquence de ces événements fournissent des informations de diagnostic cruciales pour identifier les causes profondes. Les administrateurs système doivent traiter les occurrences multiples de l'ID d'événement 25 comme des incidents de haute priorité nécessitant une enquête immédiate.

Windows génère cet événement via le service Windows Error Reporting, qui surveille la santé des processus et capture les vidages sur incident pour analyse. Les données de l'événement incluent les noms des processus, les codes d'exception et les adresses mémoire qui aident à identifier la source de l'instabilité.

Questions Fréquentes

Que signifie l'ID d'événement 25 de Application Popup et pourquoi est-il critique ?+
L'ID d'événement 25 indique qu'un processus système critique s'est terminé de manière inattendue, ce que Windows considère comme une menace sérieuse pour la stabilité du système. Contrairement aux plantages d'applications réguliers, cet événement suit spécifiquement les échecs dans les processus essentiels au fonctionnement de Windows, tels que les services système, les pilotes ou les composants principaux. La source 'Application Popup' fait référence au mécanisme de Windows Error Reporting pour capturer ces échecs critiques. Cet événement est critique car il précède souvent des plantages système, des écrans bleus ou une instabilité complète du système, rendant une enquête immédiate essentielle pour maintenir la fiabilité du système.
Comment puis-je identifier quel processus ou pilote spécifique cause l'ID d'événement 25 ?+
Les détails de l'ID d'événement 25 contiennent des informations médico-légales cruciales, y compris le nom de l'application, le nom du module, les numéros de version et les adresses mémoire où l'échec s'est produit. Utilisez PowerShell pour extraire ces informations : Get-WinEvent -FilterHashtable @{LogName='Application'; Id=25} | Format-List. Recherchez les champs 'Faulting application name' et 'Faulting module name'. Recoupez le nom du module avec vos pilotes installés en utilisant Get-WmiObject Win32_PnPSignedDriver. Le code d'exception et l'adresse de décalage fournissent des indices supplémentaires sur le type d'échec, tels que les violations d'accès (0xc0000005) ou les débordements de pile.
L'ID d'événement 25 peut-il être causé par des problèmes matériels, et comment les tester ?+
Oui, les problèmes matériels sont une cause fréquente de l'ID d'événement 25, en particulier la RAM défaillante, les composants en surchauffe ou les dispositifs de stockage défectueux. Exécutez le Diagnostic de mémoire Windows (mdsched.exe) pour tester l'intégrité de la RAM et vérifiez l'ID d'événement 1201 dans le journal Système pour les résultats. Surveillez les températures du système en utilisant Get-WmiObject -Namespace 'root/wmi' -Class MSAcpi_ThermalZoneTemperature. Pour les problèmes de stockage, exécutez chkdsk /f sur les lecteurs système et vérifiez les données SMART en utilisant wmic diskdrive get status. Les occurrences de l'ID d'événement 25 liées au matériel montrent souvent des schémas liés à la charge du système ou aux changements de température.
Quelle est la différence entre l'ID d'événement 25 et les autres événements de plantage d'application ?+
L'ID d'événement 25 suit spécifiquement les échecs critiques des processus système qui menacent la stabilité globale du système, tandis que d'autres événements de crash comme l'ID d'événement 1000 (Erreur d'application) ou 1001 (Rapport d'erreurs Windows) impliquent généralement des applications utilisateur. L'ID d'événement 25 se déclenche lorsque le Rapport d'erreurs Windows détecte qu'un processus essentiel au fonctionnement du système a planté. La source Application Popup indique qu'il s'agit d'une défaillance au niveau du système nécessitant une attention immédiate, contrairement aux plantages d'applications utilisateur qui ne menacent pas la fonctionnalité centrale du système. L'ID d'événement 25 est souvent corrélé avec des plantages ultérieurs du système ou des écrans bleus.
Comment devrais-je prioriser et répondre à plusieurs occurrences de l'ID d'événement 25 dans mon environnement ?+
Des occurrences multiples de l'ID d'événement 25 indiquent une instabilité système sérieuse nécessitant une action immédiate. Tout d'abord, identifiez si le même processus/module échoue à travers plusieurs événements en utilisant le filtrage Get-WinEvent. Si le même composant échoue de manière répétée, concentrez-vous sur ce pilote ou service spécifique. Pour différents processus échouant, suspectez des problèmes matériels, une corruption de mémoire ou des logiciels malveillants. Priorisez d'abord les serveurs et les stations de travail critiques. Créez une chronologie des échecs et corrélez avec les changements récents (mises à jour, nouveau matériel, installations logicielles). Envisagez d'isoler les systèmes affectés du réseau si des logiciels malveillants sont suspectés. Documentez toutes les constatations pour l'analyse des modèles et les cas de support potentiel avec les fournisseurs.
Documentation

Références (2)

1
Windows Error Reporting OverviewOfficial Microsoft documentation covering Windows Error Reporting architecture and event generationhttps://docs.microsoft.com/en-us/windows/win32/wer/windows-error-reporting
2
Troubleshooting System Crashes and HangsMicrosoft troubleshooting guide for system stability issues and crash analysishttps://docs.microsoft.com/en-us/troubleshoot/windows-client/performance/troubleshoot-system-crashes-hangs
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#windows-error-reporting#event-id-25#system-crashes

Événements Windows associés

Windows Event Viewer displaying critical system events on a server monitoring dashboard
Event 26
Application Popup
Windows EventCritical

ID d'événement Windows 26 – Fenêtre contextuelle de l'application : Processus système terminé de manière inattendue

L'ID d'événement 26 indique qu'un processus système critique s'est terminé de manière inattendue, déclenchant le rapport d'erreurs Windows. Cet événement signale généralement une instabilité système grave nécessitant une enquête immédiate.

18 mars12 min
Windows Event Viewer displaying critical system events on a professional monitoring setup in a server room
Event 76
Application Popup
Windows EventError

ID d'événement Windows 76 – Fenêtre contextuelle de l'application : Processus système terminé de manière inattendue

L'ID d'événement 76 indique qu'un processus système critique s'est terminé de manière inattendue, ce qui entraîne l'affichage d'une fenêtre contextuelle d'erreur d'application par Windows et peut potentiellement initier des procédures de récupération du système.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...