Антивірус CrowdStrike зірвав роботу банків, аеропортів і порушив роботу Windows у всьому світі: як врятувати девайс від "екрану смерті"
Антивірус CrowdStrike зірвав роботу банків, аеропортів і порушив роботу Windows у всьому світі: як врятувати девайс від "екрану смерті"

Антивірус CrowdStrike зірвав роботу банків, аеропортів і порушив роботу Windows у всьому світі: як врятувати девайс від "екрану смерті"

Вранці 19 липня банки, аеропорти та інші компанії компанії по всьому світу повідомили про зрив роботи через появу на їхніх комп'ютерах, що працюють на ОС Windows 10 "синього екрану смерті". Зокрема, на дисплеї вийшло повідомлення "Схоже, Windows завантажилася неправильно. Якщо ви хочете перезавантажитись і спробувати знову, виберіть "Перезавантажити мій ПК" нижче. Причиною ж цього стало оновлення антивірусу CrowdStrike. Проте можливість виправити ситуацію є.

Так, аналітики Windows Latest провели дослідження та виявили, що причиною проблеми є файл csagent.sys (або C-00000291*.sys). "Тому, якщо ви видалите цей файл або перейменуєте папку з драйверами, ви зможете завантажитись", – розповіли вони.

Водночас, наголошується, існує кілька способів подолати "синій екран смерті", що виник через антивірус CrowdStrike. Спосіб №1 передбачає:

  • використання безпечного режиму;
  • видалення пошкодженого файлу.

"Якщо ви знаходитесь на екрані відновлення, натисніть "Подивитися додаткові параметри відновлення" на екрані відновлення. У меню "Додаткові параметри відновлення" виберіть "Усунення несправностей", а потім "Додаткові параметри". Виберіть "Параметри запуску" і натисніть кнопку "Перезапустити". Після перезавантаження комп'ютера натисніть 4 або F4, щоб запустити комп'ютер у безпечному режимі", – розповідають фахівці.

Також, зазначають вони, можна вимкнути комп'ютер, увімкнути його та кілька разів натиснути F8 – до появи меню "Додаткові параметри завантаження". Після цього слід:

  • вибрати Безпечний режим;
  • відкрити командний рядок або Windows PowerShell;
  • у командному рядку ввести команду для переходу до каталогу CrowdStrike: cd C:\Windows\System32\drivers\CrowdStrike.

"Щоб видалити пошкоджений файл, необхідно знайти інший файл – відповідний шаблону C-00000291*.sys. Спочатку виконайте команду dir C-00000291*.sys. Наприклад, він може називатися C-00000291abc.sys. Після того, як ви визначили файл, видаліть його за допомогою команди del C-00000291.sys", – пояснили фахівці.

Є й інший спосіб вирішити проблему. За ним потрібно в безпечному режимі перейменувати папку CrowdStrike. Для цього треба:

  • на екрані відновлення натиснути кнопку "Подивитися додаткові параметри відновлення";
  • у меню "Додаткові параметри відновлення" виберіть "Усунення несправностей".
  • обрати "Додаткові параметри";
  • обрати "Параметри запуску";
  • натиснути "Перезапустити".

"Після перезавантаження комп'ютера ви побачите список опцій. Натисніть 4 або F4, щоб запустити комп'ютер у безпечному режимі. Відкрийте Командний рядок у Безпечному режимі. У командному рядку перейдіть до каталогу драйверів: cd \windows\system32\drivers. Щоб перейменувати папку CrowdStri ren CrowdStrike CrowdStrike_old", – пояснили фахівці.

Крім того, зазначили вони, можна завантажитись у безпечний режим, вимкнувши комп'ютер і натискаючи клавішу F8 кілька разів – поки не з'явиться меню Advanced Boot Options. Потім оибрати Безпечний режим, натиснути Enter, після чого видалити його за допомогою команди del C-00000291.sys

"Це перейменовує папку crowdstrike на c:\windows\system32\drivers\crowstrike на CrowdStrike_old. Що усуває проблему і дозволяє вашому комп'ютеру завантажитися на робочий стіл", - розповіли в Windows Latest.

Спосіб №3 передбачає використання редактора реєстру для блокування служби CSAgent. Для цього слід:

  • Перезапустити Windows 10. "Продовжуйте натискати клавішу F8, доки не з'явиться меню "Додаткові параметри завантаження", – розповіли експерти.
  • Завантажитись у безпечний режим та відкрити редактор реєстру Windows (використовуйте Win+R, щоб знайти редактор реєстру).
  • У редакторі реєстру перейти шляхом HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CSAgent.
  • У ключі CSAgent знайти запис Start на правій панелі.
  • Двічі натиснути Start, щоб змінити його значення.
  • Змінити значення даних з 1 (означає, що служба запускається автоматично) на 4 (вимикає службу).
  • Натисніть OK, щоб зберегти зміни.
  • Закрити редактор реєстру та перезавантажити пристрій.

"- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CSAgent: Цей шлях містить параметри конфігурації для служби CSAgent, яка є частиною агента CrowdStrike. Далі знаходиться значення Start Value, яке визначає, як і коли запускається служба. У даному випадку csagent.sys викликає цикл перезавантаження в Windows 10. Нам потрібно відключити запуск служби під час завантаження комп'ютера, тому ми змінюємо значення на "4". Це відключає службу", – пояснили суть способу фахівці.

Як повідомляв OBOZ.UA, в усьому світі через збій в програмах Microsoft Azure та Crowdstrikе 19 липня зупинились сотні компаній. В Україні тимчасово були недоступні послуги "Нової пошти", Vodafone та Сенс Банк. Крім того, зникла можливість створювати банки в "Моно". Водночас у світі довелось відкласти сотні авіарейсів, тимчасово перестали працювати аеропорти, а користувачі Microsoft 10 втратили можливість користуватись комп'ютерами.

Лише перевірена інформація у нас у Telegram-каналі OBOZ.UA та Viber. Не ведіться на фейки!

Джерело матеріала
loader