ID d'événement Windows 76 – Fenêtre contextuelle de l'application : Processus système terminé de manière inattendue

Commencez par examiner les détails spécifiques de l'ID d'événement 76 pour identifier le processus échoué et le contexte de l'erreur.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Système
3. Filtrez le journal pour l'ID d'événement 76 en cliquant avec le bouton droit sur le journal Système et en sélectionnant Filtrer le journal actuel
4. Entrez 76 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur l'entrée la plus récente de l'ID d'événement 76 pour voir les informations détaillées
6. Notez le nom du processus, le PID, et le code d'exception dans la description de l'événement
7. Utilisez PowerShell pour recueillir un contexte supplémentaire :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=76} -MaxEvents 5 | Format-List TimeCreated, Id, LevelDisplayName, Message

Documentez le nom du processus et l'horodatage pour une corrélation avec d'autres événements système se produisant au même moment.

Vérifiez que les fichiers système sont intacts, car la corruption peut entraîner l'échec inattendu de processus critiques.

1. Ouvrez une invite de commandes avec élévation de privilèges en appuyant sur Win + X et en sélectionnant Windows Terminal (Admin)
2. Exécutez le Vérificateur de fichiers système pour rechercher les fichiers corrompus :

sfc /scannow

3. Si SFC trouve des problèmes qu'il ne peut pas réparer, exécutez DISM pour réparer l'image Windows :

DISM /Online /Cleanup-Image /RestoreHealth

4. Après que DISM a terminé, exécutez à nouveau SFC pour vous assurer que tous les fichiers sont réparés :

sfc /scannow

5. Vérifiez le journal CBS pour obtenir des informations détaillées sur la réparation :

Get-Content C:\Windows\Logs\CBS\CBS.log | Select-String "\[SR\]" | Select-Object -Last 20

Redémarrez le système après la fin des réparations et surveillez les entrées récurrentes de l'ID d'événement 76.

Les plantages de processus résultent souvent de problèmes matériels, en particulier des problèmes de mémoire qui provoquent des violations d'accès.

1. Exécutez le Diagnostic de mémoire Windows pour vérifier les problèmes de RAM :

mdsched.exe

2. Sélectionnez Redémarrer maintenant et rechercher les problèmes pour planifier un test de mémoire
3. Après le redémarrage du système et la fin du test, vérifiez les résultats :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=1201} | Format-List TimeCreated, Message

4. Vérifiez les événements liés au matériel autour de l'heure de l'ID d'événement 76 :

Get-WinEvent -FilterHashtable @{LogName='System'; Level=1,2,3} | Where-Object {$_.TimeCreated -gt (Get-Date).AddHours(-24)} | Sort-Object TimeCreated

5. Examinez le Moniteur de fiabilité pour les modèles de défaillance matérielle :

perfmon /rel

6. Si disponible, vérifiez les outils de diagnostic du fabricant et effectuez des tests matériels complets sur les sous-systèmes de mémoire, de CPU et de stockage

Les pilotes et logiciels tiers peuvent interférer avec les processus système, entraînant des terminaisons inattendues.

1. Vérifiez les pilotes récemment installés ou mis à jour :

Get-WmiObject Win32_PnPSignedDriver | Where-Object {$_.DriverDate -gt (Get-Date).AddDays(-30)} | Select-Object DeviceName, DriverVersion, DriverDate | Sort-Object DriverDate -Descending

2. Examinez les programmes installés et les modifications récentes :

Get-WmiObject -Class Win32_Product | Where-Object {$_.InstallDate -gt (Get-Date).AddDays(-30).ToString('yyyyMMdd')} | Select-Object Name, Version, InstallDate

3. Vérifiez les problèmes de vérificateur de pilotes qui pourraient indiquer des pilotes problématiques :

verifier /query

4. Examinez les fichiers de vidage sur incident si disponibles :

Get-ChildItem C:\Windows\Minidump\*.dmp | Sort-Object LastWriteTime -Descending | Select-Object -First 5

5. Utilisez le Gestionnaire de périphériques pour vérifier les périphériques avec des problèmes :

Get-WmiObject Win32_PnPEntity | Where-Object {$_.Status -ne 'OK'} | Select-Object Name, Status, PNPDeviceID

6. Envisagez de démarrer en mode sans échec pour tester la stabilité du système sans les pilotes tiers chargés

Si des pilotes spécifiques sont identifiés comme problématiques, mettez-les à jour vers la dernière version ou revenez à une version stable précédente.

Implémentez une surveillance complète pour capturer des informations détaillées sur les échecs de processus et l'état du système.

1. Activez l'audit avancé des processus pour capturer des informations d'échec plus détaillées :

auditpol /set /subcategory:"Process Termination" /success:enable /failure:enable

2. Configurez le rapport d'erreurs Windows pour des vidages sur incident détaillés :

Set-ItemProperty -Path "HKLM\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps" -Name "DumpType" -Value 2 -Type DWord

3. Configurez Process Monitor (ProcMon) pour capturer l'activité des processus en temps réel :

# Téléchargez et exécutez ProcMon avant que le problème ne se produise
# Filtrez pour le nom du processus problématique identifié dans l'ID d'événement 76

4. Vérifiez les clés de registre critiques pour la corruption ou les modifications non autorisées :

Get-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Services\*" | Where-Object {$_.Start -eq 2 -and $_.Type -eq 1} | Select-Object PSChildName, Start, Type

5. Activez la journalisation de démarrage pour capturer les problèmes d'initialisation précoce des processus :

bcdedit /set bootlog yes

6. Utilisez Performance Toolkit (WPT) pour une analyse avancée si disponible :

wpr -start GeneralProfile -filemode

7. Surveillez les compteurs de performance système pour les modèles d'épuisement des ressources :

Get-Counter "\Process(*)\% Processor Time","\Process(*)\Working Set" -SampleInterval 5 -MaxSamples 60