در پاسخ به مشکلات گسترده‌ای که به دنبال به‌روزرسانی CrowdStrike در دستگاه‌های ویندوز به وجود آمده، راه‌حل‌هایی برای حل مشکل صفحه آبی مرگ ویندوز (BSOD) ارائه شده است. 

به گزارش سرویس امنیت سایبری تکناک،چندین شرکت رسانه‌ای، شرکت‌های فناوری و مدارس یا دانشگاه‌ها گزارش داده‌اند که با مشکل صفحه آبی مرگ ویندوز (BSOD) مواجه شده‌اند. رایانه‌ها در صفحه “Recovery” متوقف می‌شوند که اعلام می‌کند: “به نظر می‌رسد ویندوز به درستی بارگذاری نشده است. اگر مایل به راه‌اندازی مجدد و تلاش دوباره هستید، گزینه Restart my PC را انتخاب کنید.”

در بیانیه‌ای  مایکروسافت تأیید کرده که از مشکلی که به دلیل به‌روزرسانی یک پلتفرم نرم‌افزاری شخص ثالث بر دستگاه‌های ویندوز تأثیر می‌گذارد، آگاه است. این شرکت اعلام کرده است: “ما انتظار داریم که به زودی راه‌حلی ارائه شود.”

شرکت امنیتی CrowdStrike تأیید کرده که مشکل گسترده صفحه آبی مرگ ویندوز به دلیل به‌روزرسانی سنسورهای جدید این شرکت است. CrowdStrike حفاظت از نقاط انتهایی و سایر خدماتی را ارائه می‌دهد که توسط شرکت‌های دیگر نیز استفاده می‌شوند، اما به‌روزرسانی جدید برای سنسورهای CrowdStrike باعث ایجاد مشکلات قابل توجهی شده است.

در شبکه اجتماعی X (توئیتر سابق)، گزارش‌های گسترده‌ای از خطاهای صفحه آبی مرگ (BSOD) در سیستم‌های ویندوز منتشر شده است که به نظر می‌رسد با نسخه‌های مختلف سنسورهای CrowdStrike مرتبط هستند. به نظر می‌رسد که فایل csagent.sys (یا C-00000291*.sys) باعث ایجاد مشکل می‌شود، بنابراین اگر این فایل را حذف کنید یا پوشه درایور را تغییر نام دهید، باید بتوانید سیستم را به درستی بوت کنید.

روش های  جلوگیری از شروع CrowdStrike با استفاده از یکی از روش‌های زیر است:

روش ۱:از Safe Mode استفاده کنید و فایل آسیب دیده را حذف کنید

برای حل مشکل صفحه آبی مرگ ویندوز (BSOD) ، ابتدا باید رایانه را در حالت Safe Mode بوت کنید.

• اگر در صفحه Recovery (بازیابی) قرار دارید، بر روی گزینه “See advanced repair options” کلیک کنید.
• سپس در منوی “Advanced Repair Options” (گزینه‌های تعمیر پیشرفته)، “Troubleshoot” (عیب‌یابی) را انتخاب کنید و بعد “Advanced options” (گزینه‌های پیشرفته) را انتخاب کنید
•  گزینه “Startup Settings” (تنظیمات راه‌اندازی) را انتخاب کرده و روی “Restart” (راه‌اندازی مجدد) کلیک کنید
• پس از راه‌اندازی مجدد رایانه، کلید ۴ یا F4 را برای شروع رایانه در حالت امن فشار دهید.

به عنوان یک روش جایگزین، می‌توانید رایانه را خاموش کنید، آن را روشن کرده و به‌طور مداوم F8 را فشار دهید تا منوی “Advanced Boot Options” (گزینه‌های پیشرفته بوت) ظاهر شود. از آنجا، “Safe Mode” (حالت امن) را انتخاب کنید.

• در Safe Mode برنامه، “Command Prompt (Admin)” یا “Windows PowerShell (Admin)” را باز کنید.
• در Command Prompt، دستور زیر را برای پیمایش به دایرکتوری CrowdStrike تایپ کنید:
  “`
  cd C:\Windows\System32\drivers\CrowdStrike
  “`
• برای حذف فایل آسیب‌دیده، باید فایلی را که با الگوی `C-00000291*.sys` مطابقت دارد، پیدا کنید.
• ابتدا دستور زیر را برای یافتن فایل مطابق با الگو اجرا کنید:
  “`
  dir C-00000291*.sys
  “`
• برای مثال، ممکن است نام آن چیزی شبیه `C-00000291abc.sys` باشد.
• پس از شناسایی فایل، آن را با استفاده از دستور زیر حذف کنید:
  “`
  del C-00000291.sys
  “`

در این مثال، `del C-00000291.sys` نام فایلی است که در سیستم ما ظاهر شده و ممکن است برای شما نام دیگری باشد. برای شناسایی صحیح فایل، حتماً مراحل را دنبال کرده و از دستور `dir` استفاده کنید.

روش دوم: استفاده از حالت امن و تغییر نام پوشه CrowdStrike

اگر در صفحه بالا گیر کرده اید، مراحل زیر را امتحان کنید:

1. در صفحه بازیابی، روی See advanced repair options کلیک کنید.
2. در منوی Advanced Repair Options گزینهTroubleshoot  را انتخاب کنید.
3. در مرحله بعد، Advanced options را انتخاب کنید.
4. تنظیمات راه اندازی را انتخاب کنید.
5. روی راه اندازی مجدد کلیک کنید.
6. پس از راه اندازی مجدد رایانه، لیستی از گزینه ها را مشاهده خواهید کرد. برای راه اندازی رایانه در حالت امن، 4 یا F4 را فشار دهید.
7. درSafe Mode،  Command Prompt را باز کنید.
8. در  Command Prompt، به دایرکتوری درایورها بروید :  cd \windows\system32\drivers
9. برای تغییر نام پوشه CrowdStrike، از دستور زیر استفاده کنید:

ren CrowdStrike CrowdStrike_old

همچنین می توانید با خاموش کردن رایانه و فشار دادن مکرر کلید F8 تا زمانی که منوی گزینه های بوت پیشرفته ظاهر شود، به حالت امن بوت شوید. از آنجا، می توانید حالت امن را انتخاب کنید و Enter را فشار دهید. در نهایت، مراحل 7 تا 9 را دنبال کنید.

راهنمای فوق، پوشه CrowdStrike را در c:\windows\system32\drivers\crowstrike به CrowdStrike_old تغییر نام می دهد که مشکل را حل می کند و به رایانه شما اجازه می دهد تا به دسکتاپ بوت شود.

روش دوم: ااستفاده از Registry Editor برای مسدود کردن سرویس CSAgent

ویندوز را مجدداً راه‌اندازی کنید. کلید F8 را فشار دهید تا منوی گزینه‌های پیشرفته بوت ظاهر شود. به حالت امن بوت شوید و Registry Editor ویندوز را باز کنید (از Win+R برای دسترسی به Registry Editor استفاده کنید).

در Registry Editor، به مسیر زیر بروید:
`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CSAgent`

در کلید CSAgent، ورودی “Start” را در پنل سمت راست پیدا کنید. برای ویرایش مقدار آن، روی “Start” دوبار کلیک کنید. داده مقدار را از 1 (که به معنی شروع خودکار سرویس است) به 4 (که سرویس را غیرفعال می‌کند) تغییر دهید. برای ذخیره تغییرات روی OK کلیک کنید.

Registry Editor را ببندید و سیستم را مجدداً راه‌اندازی کنید.

این تغییرات به شرح زیر است:

`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CSAgent`:

این مسیر شامل تنظیمات پیکربندی برای سرویس CSAgent است که بخشی از عامل CrowdStrike می‌باشد. مقدار “Start” تعیین می‌کند که سرویس چگونه و چه زمانی شروع شود. در این مورد، csagent.sys باعث حلقه راه‌اندازی مجدد در ویندوز 10 می‌شود. با تغییر مقدار به “4”، سرویس غیرفعال می‌شود و از شروع در هنگام بوت جلوگیری می‌کند.

مقادیر ممکن برای “Start” به شرح زیر است:
– 0: شروع بوت (بارگذاری شده توسط بوت لودر، به ندرت استفاده می‌شود)
– 1: شروع سیستم (بارگذاری شده توسط زیرسیستم ورودی/خروجی)
– 2: شروع خودکار (بارگذاری خودکار توسط مدیر کنترل سرویس در هنگام راه‌اندازی سیستم)
– 3: شروع دستی (نیاز به شروع دستی دارد)
– 4: غیرفعال (سرویس شروع نمی‌شود)

برای حل مشکل راه‌اندازی مجدد ویندوز، مقدار را روی “4” تنظیم می‌کنیم تا سرویس غیرفعال شود و اجازه دهیم ویندوز به طور طبیعی بوت شود.