来源:蓝点网
笔者注:国外安全软件使用 Crowdstrike 还蛮多的,问题影响范围很广
今天在全球各地都出现了网友晒出 Windows 蓝屏死机的照片,蓝屏死机的错误代码为 PAGE_FAULT_IN_NONPAGED_AREA,此次蓝屏死机似乎是因为驱动程序文件 csagent.sys 引起的,该驱动文件属于美国网络安全公司 Crowdstrike。
Crowdstrike 是美国同名软件开发商开发的面向企业和机构的终端安全软件,主要提供端点安全防护、情报威胁和网络攻击防御等服务。
目前在中国、日本、澳大利亚、新西兰、印度等市场均有网友发布蓝屏死机照片,涉及的行业包括但不限于政府网站、银行、图书馆、企业等,可能是 Crowdstrike 发布了软件或病毒库更新引起了兼容性问题。
例如澳大利亚广播公司就发布预先录制好的视频循环播放,称其遭遇了重大网络中断。澳大利亚国家网络安全协调员则回应称已经了解到一起大规模技术故障,这影响了澳大利亚的很多企业和服务。
针对这个问题的临时解决方案是通过安全模式阻止 Crowdstrike 驱动程序启动,例如在安全模式中将 C:\windows\system32\drivers\crowdstrike 文件夹重命名,重命名后引起兼容性的驱动程序文件无法被正常调用,系统可以恢复正常使用。
接到大量用户反馈后 Crowdstrike 发布声明表示已经知晓此问题并在处理中,在 Reddit 论坛中该公司工程师称正在撤销 Crowdstrike 的一项可能导致蓝屏死机的更改。
如何进入安全模式:
- 正常开机,可能会蓝屏死机,长按电源按钮强制关机
- 再次开机,死机后再次长按电源按钮强制关机
- 第三次开机时系统会自动进入高级启动界面(类似下图、直接点击高级恢复选项亦可)
- 在高级启动页面选择:高级启动、启动设置、重启疑难解答
- 此时系统再次重启,按 F4 进入安全模式
- 进入安全模式后找到驱动路径(上面红色加粗的)
- 在这个文件夹里删除所有 C-00000291 开头的 sys 文件
