如何修复 Windows 10 /11上 CrowdStrike 导致的蓝屏死机问题

从昨天开始，全球范围内的Windows系统的电脑，出现了大范围的蓝屏死机问题！目前已经确认的是，这个全球性的电脑蓝屏的元凶就是CrowdStrike 。

CrowdStrike 是一家领先的网络安全技术提供商，为终端、云工作负载、身份和数据提供安全服务。CrowdStrike 深受 298 家财富 500 强企业、美国 43 个州、6 家排名前 10 的医疗保健提供商和 8 家排名前 10 的金融服务公司的信赖，是业内的佼佼者。

其 Falcon 平台是一种统一的、云交付的安全解决方案，旨在防止所有类型的攻击，包括恶意软件等。然而， Windows 上Falcon Sensor代理的最新更新引发了一个严重问题：蓝屏死机 (BSOD) 启动循环导致受影响的系统无法使用。这一普遍存在的问题扰乱了各个行业的运营，尤其影响了航空公司、银行和医疗保健提供商。

CrowdStrike 已确认该问题并停止进一步部署错误更新。向用户发送的警报确认他们知道与 Falcon Sensor 相关的 Windows 主机崩溃，特别是错误检查/蓝屏错误。不幸的是，恢复陷入 BSOD 启动循环的 Windows PC 的官方解决方案仍然难以捉摸。有几种解决方法可以解决此问题，请阅读下文。

Windows PC 上 CrowdStrike BSOD 问题的官方解决方法：

• 将您的 Windows PC 启动到安全模式或 Windows 恢复环境。
• 转到 C:\Windows\System32\drivers\CrowdStrike
• 找到并删除与“C-00000291*.sys”匹配的文件
• 正常启动

另一种方法是使用以下任一方法阻止 CrowdStrike 启动：

方法 1：

• 从恢复选项进入命令提示符。
• 输入以下命令，给它进行删除掉最新的更新文件

• del C：\Windows\System32\drivers\CrowdStrike\C-00000291*.sys

• 重新启动电脑即可解决问题。

方法 2：

• 将您的 Windows PC 启动到安全模式或 Windows 恢复环境。
• 转到 Windows 注册表
• 编辑以下键以禁止 csagent.sys 加载。
  • HKLM:\SYSTEM\CurrentControlSet\Services\CSAgent\Start 从 1 到 4

如果您在 AWS EC2 实例上运行 Windows，则可以尝试以下方法：

• 将 EBS 卷与受影响的 EC2 分离
• 将 EBS 卷附加到新的 EC2
• 按照 CrowdStrike 建议的解决方法修复 CrowdStrike 驱动程序文件夹
• 从新的 EC2 实例中分离 EBS 卷
• 将 EBS 卷附加到受影响的 EC2 实例

上述方法也适用于在 Google Cloud Platform 上运行的 Windows 实例。

2.详细的修复教程如下：