Blåskärmsfel uppstår efter uppdatering av CrowdStrike

Berörda produkter:

• CrowdStrike

Obs! Uttalande från CrowdStrike: Uttalande om uppdatering av Falcon-innehåll för Windows-värdar .

Användare kan få ett blåskärmsfel efter uppdatering av CrowdStrike.

Felmeddelandet lyder:

Stop Code：Page_fault_in_nonpaged_area
What failed: csagent.sys

Orsaken är under utredning av CrowdStrike. Kontakta CrowdStrike för mer information. https://www.crowdstrike.com/contact-us/

Den här artikeln uppdateras när mer information blir tillgänglig.

Alternativ lösning:

En omstart av datorn kan göra det möjligt för den att ladda ner en fungerande kanalfil.

Om blåskärmsfelet uppstår efter en omstart följer du dessa steg som en lösning:

1. Starta datorn i felsäkert läge. Information om hur du startar i felsäkert läge finns i följande artikel i Dells kunskapsbank: Starta i felsäkert läge i Windows 11 eller Windows 10
2. Gå till katalogen CrowdStrike. Öppna Utforskaren genom att klicka på mappikonen i aktivitetsfältet. Alternativt kan du klicka på Start och söka efter Utforskaren och välja Utforskaren (gör något av följande):
   • Klistra in sökvägen C:\Windows\System32\drivers\CrowdStrike i adressfältet högst upp i Utforskaren och tryck på Retur.
   • Gå till CrowdStrike-mappen genom att följa dessa steg:
     1. Klicka på Start-menyn
     2. Klicka på Utforskaren
     3. Klicka på C:/ enhet
     4. Klicka på Windows-mappen
     5. Klicka på mappen System32
     6. Klicka på drivrutinsmappen
     7. Klicka på CrowdStrike-mappen
3. Ta bort följande fil, C-00000291*.sys
4. Starta till Windows.

Identifiera berörda datorer:

Fråga för att identifiera berörda värdar med hjälp av avancerad händelsesökning (i CrowdStrike-programmet):

}
| default(value="0", field=[CSUcounter, SHBcounter])
// Make sure both ConfigState update and SensorHeartbeat have happened
| selfJoinFilter(field=[cid, aid, ComputerName], where=[{ConfigStateUpdate}, {SensorHeartbeat}])
// Aggregate results
| groupBy([cid, aid], function=([{selectFromMax(field="@timestamp", include=[CFVersion])}, {selectFromMax(field="@timestamp", include=[@timestamp]) | rename(field="@timestamp", as="LastSeen")}, max(CSUcounter, as=CSUcounter), max(SHBcounter, as=SHBcounter)]), limit=max)
// Perform check on selfJoinFilter
| CFVersion=* LastSeen=*
// Calculate time between last seen and now
| LastSeenDelta:=now()-LastSeen
// Optional threshold; 3600000 is one hour
| LastSeenDelta>3600000
// Calculate duration between last seen and now
| LastSeenDelta:=formatDuration("LastSeenDelta", precision=2)
// Convert LastSeen time to human-readable format
| LastSeen:=formatTime(format="%F %T", field="LastSeen")
// Enrich aggregation with aid_master details
| aid=~match(file="aid_master_main.csv", column=[aid])
| aid=~match(file="aid_master_details.csv", column=[aid], include=[FalconGroupingTags, SensorGroupingTags])
// Convert FirstSeen time to human-readable format
| FirstSeen:=formatTime(format="%F %T", field="FirstSeen")

// Move ProductType to human-readable format and add formatting
| $falcon/helper:enrich(field=ProductType)
| drop([Time])
| default(value="-", field=[MachineDomain, OU, SiteName, FalconGroupingTags, SensorGroupingTags], replaceEmpty=true)
| case{
    CSUcounter=0 AND SHBcounter=0 | Details:="OK: Endpoint did not receive channel file during impacted window. Endpoint was offline.";
    CSUcounter=0 AND SHBcounter=1 | Details:="OK: Endpoint did not receive channel file during impacted window. Endpoint was online.";
    CSUcounter=1 AND SHBcounter=1 | Details:="CHECK: Endpoint received channel file during impacted window. Endpoint was online. Endpoint has not been seen online in past hour.";