Антивирус CrowdStrike сорвал работу банков, аэропортов и нарушил работу Windows по всему миру: как спасти девайс от "экрана смерти"
Антивирус CrowdStrike сорвал работу банков, аэропортов и нарушил работу Windows по всему миру: как спасти девайс от "экрана смерти"

Антивирус CrowdStrike сорвал работу банков, аэропортов и нарушил работу Windows по всему миру: как спасти девайс от "экрана смерти"

Утром 19 июля банки, аэропорты и другие компании компании по всему миру сообщили о срыве работы из-за появления на их компьютерах, работающих на ОС Windows 10 "синего экрана смерти". В частности, на дисплеи вывелось сообщение "Похоже, Windows загрузилась неправильно. Если вы хотите перезагрузиться и попробовать снова, выберите "Перезагрузить мой ПК" ниже". Причиной же этого стало обновление антивируса CrowdStrike. Впрочем, возможность исправить ситуацию есть.

Так, аналитики Windows Latest провели исследование и обнаружили, что причиной проблемы является файл csagent.sys (или C-00000291*.sys). "Поэтому, если вы удалите этот файл или переименуете папку с драйверами, вы сможете загрузиться", – рассказали они.

В то же время, подчеркивается, существует несколько способов побороть "синий экран смерти", возникший из-за антивируса CrowdStrike. Способ №1 предполагает:

  • использование безопасного режима;
  • удаление поврежденного файла.

"Если вы находитесь на экране восстановления, нажмите "Посмотреть дополнительные параметры восстановления" на экране восстановления. В меню "Дополнительные параметры восстановления" выберите "Устранение неполадок", а затем "Дополнительные параметры". Выберите "Параметры запуска" и нажмите "Перезапустить". После перезагрузки компьютера нажмите 4 или F4, чтобы запустить компьютер в безопасном режиме", – рассказівают специалисты.

Также, отмечают они, можно выключить компьютер, включить его и несколько раз нажать F8 – до появления меню "Дополнительные параметры загрузки". После чего следует:

  • выбрать Безопасный режим;
  • открыть Командную строку или Windows PowerShell;
  • в командной строке ввести команду для перехода в каталог CrowdStrike: cd C:\Windows\System32\drivers\CrowdStrike.

"Чтобы удалить поврежденный файл, необходимо найти другой файл – соответствующий шаблону C-00000291*.sys. Сначала выполните команду dir C-00000291*.sys. Например, он может называться C-00000291abc.sys. После того как вы определили файл, удалите его с помощью команды del C-00000291.sys", – объяснили специалисты.

Есть и другой способ решить проблему. По нему нужно в безопасном режиме переименовать папку CrowdStrike. Для этого следует:

  • на экране восстановления нажать на кнопку "Посмотреть дополнительные параметры восстановления";
  • в меню "Дополнительные параметры восстановления" выбрать "Устранение неполадок".
  • выбрать "Дополнительные параметры";
  • выбрать "Параметры запуска";
  • нажать "Перезапустить".

"После перезагрузки компьютера вы увидите список опций. Нажмите 4 или F4, чтобы запустить компьютер в безопасном режиме. Откройте Командную строку в Безопасном режиме. В командной строке перейдите в каталог драйверов: cd \windows\system32\drivers. Чтобы переименовать папку CrowdStrike, используйте ren CrowdStrike CrowdStrike_old", – объяснили специалисты.

Кроме того, отметили они, можно загрузиться в безопасный режим, выключив компьютер и нажимая клавишу F8 несколько раз – пока не появится меню Advanced Boot Options. Потом выбрать Безопасный режим, нажать Enter, после чего удалить его с помощью команды del C-00000291.sys

"Это переименовывает папку crowdstrike в c:\windows\system32\drivers\crowstrike в CrowdStrike_old. Что устраняет проблему и позволяет вашему компьютеру загрузиться на рабочий стол", – рассказали в Windows Latest.

Способ №3 предполагает использлвание редактора реестра для блокирования службы CSAgent. Для этого следует:

  • Перезапустить Windows 10. "Продолжайте нажимать клавишу F8, пока не появится меню "Дополнительные параметры загрузки", – рассказали эксперты.
  • Загрузиться в безопасный режим и открыть редактор реестра Windows (используйте Win+R, чтобы найти редактор реестра).
  • В редакторе реестра перейти по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CSAgent.
  • В ключе CSAgent найти запись Start на правой панели.
  • Дважды нажатьна Start, чтобы изменить его значение.
  • Изменить значение данных с 1 (означает, что служба запускается автоматически) на 4 (отключает службу).
  • Нажать OK, чтобы сохранить изменения.
  • Закрыть редактор реестра и перезагрузить устройство.

"- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CSAgent: Этот путь содержит параметры конфигурации для службы CSAgent, которая является частью агента CrowdStrike. Далее находится значение Start Value, которое определяет, как и когда запускается служба. В данном случае csagent.sys вызывает цикл перезагрузки в Windows 10. Нам нужно отключить запуск службы при загрузке компьютера. Поэтому мы меняем значение на "4". Это отключает службу", – объяснили суть способа специалисты.

Как сообщал OBOZ.UA, во всем мире из-за сбоя в программах Microsoft Azure и Crowdstrikе 19 июля остановились сотни компаний. В Украине временно были недоступны услуги "Новой почты", Vodafone и Сенс Банк. Кроме того, пропала возможность создавать банки в "Моно". В то же время в мире пришлось отложить сотни авиарейсов, временно перестали работать аэропорты, а пользователи Microsoft 10 потеряли возможность пользоваться компьютерами.

Только проверенная информация у нас в Telegram-канале OBOZ.UA и Viber. Не ведитесь на фейки!

Источник материала
loader
loader