有关 Windows 服务器上的 CrowdStrike 问题的信息,请参阅 KB5042426

摘要 

Microsoft发现了影响运行 CrowdStrike Falcon 代理的 Windows 终结点的问题。 这些终结点可能会遇到错误消息 ,0x500x7E 蓝屏,并遇到持续重启状态。

我们已收到一些客户尝试对受影响的 Windows 终结点执行多次重启操作的成功恢复报告。

我们正在与 CrowdStrike 合作,提供有关此问题的最新信息。 请回来查看有关此持续问题的更新。 

解决方案

重要: 我们发布了一个 USB 工具,可帮助自动执行此手动修复过程。 有关详细信息,请参阅新的恢复工具,以帮助解决影响 Windows 设备的 CrowdStrike 问题

若要解决此问题,请按照 Windows 版本的这些说明进行操作。

Windows 11Windows 10

  1. 按住电源按钮 10 秒钟以关闭设备,然后再次按电源按钮以打开设备。

  2. 在 Windows 登录屏幕上,按住 Shift 键,同时选择“电源 > 重启”。

  3. 设备重启到“选择选项”屏幕后,选择“故障排除”。 “选择选项”

  4. “故障排除” 屏幕上,选择“高级选项”>“启动设置”> 启用安全模式 排除故障

  5. 重新启动设备。注意系统可能会要求输入 BitLocker 恢复密钥。 设备重启时,继续按 F4 ,然后它会将你登录到安全模式。 请注意,对于某些设备,需要按 F11 通过安全模式登录。

  6. 进入安全模式后,右键单击“开始”,单击“运行”,在“打开”框中键入 cmd,然后单击“确定”。

  7. 如果系统驱动器与 C:\不同,请键入 C: ,然后按 Enter。 这会切换到 C:\ 驱动器。

  8. 键入以下命令,然后按 Enter:

    CD C:\Windows\System32\drivers\CrowdStrike

    注意 在此示例中, C 是系统驱动器。 这会更改为 CrowdStrike 目录。

  9. CrowdStrike 目录中,找到匹配“C-00000291*.sys”的文件。 为此,请键入以下命令,然后按 Enter

    dir C-00000291*.sys

  10. 永久删除找到的文件 () 。 为此,请键入以下命令,然后按 Enter

    del C-00000291*.sys

  11. 手动搜索与“C-00000291*.sys”匹配的任何文件并将其删除。

  12. 重新启动设备。

  1. 按住电源按钮 10 秒钟以关闭设备,然后再次按电源按钮以打开设备。

  2. 在 Windows 登录屏幕上,按住 Shift 键,同时选择“电源 > 重启”。

  3. 设备重启到“选择选项”屏幕后,选择“故障排除”。 “选择选项”

  4. “故障排除 ”屏幕上,选择“高级选项” >“启动设置”> 启用安全模式 排除故障

  5. 重新启动设备。注意系统可能会要求输入 BitLocker 恢复密钥

  6. 设备重启时,继续按 F4 ,然后它会将你登录到安全模式。

  7. 进入安全模式后,右键单击“开始”,单击“运行”,在“打开”框中键入 cmd,然后单击“确定”。

  8. 如果系统驱动器与 C:\不同,请键入 C: ,然后按 Enter。 这会切换到 C:\ 驱动器。

  9. 键入以下命令,然后按 Enter

    CD C:\Windows\System32\drivers\CrowdStrike

    注意 在此示例中 ,C 是系统驱动器。 这会更改为 CrowdStrike 目录。

  10. CrowdStrike 目录中,找到匹配“C-00000291*.sys”的文件。 为此,请键入以下命令,然后按 Enter

    dir C-00000291*.sys

  11. 永久删除找到的文件 () 。 为此,请键入以下命令,然后按 Enter

    del C-00000291*.sys

  12. 手动搜索与“C-00000291*.sys”匹配的任何文件并将其删除。

  13. 重新启动设备。

恢复方法

如果收到 Windows 恢复屏幕,请使用以下方法之一恢复设备。

方法 1:使用启用安全模式

Windows 11Windows 10

  1. 按住电源按钮 10 秒钟以关闭设备,然后再次按下电源按钮以打开设备。

  2. 在 Windows 登录屏幕上,按住 Shift 键,同时选择“电源 > 重启”。

  3. 设备重启到“选择选项”屏幕后,选择“排查 > 高级选项> 启动设置 ”> 启用安全模式。 然后,重启设备。注意系统可能会要求输入 BitLocker 恢复密钥。 设备重启时,继续按 F4 ,然后它会将你登录到安全模式。 请注意,对于某些设备,需要按 F11 通过安全模式登录。

  4. 如果屏幕要求提供 BitLocker 恢复密钥,请使用手机并登录到 https://aka.ms/aadrecoverykey。 使用电子邮件 ID 和域帐户密码登录,查找与设备关联的 BitLocker 恢复密钥。若要查找 BitLocker 恢复密钥,请单击“ 管理设备 > 查看 Bitlocker 密钥 > 显示恢复密钥

  5. 选择看到 BitLocker 提示的设备的名称。 在展开的窗口中,选择“ 查看 BitLocker 密钥”。 返回到设备并输入在手机或辅助设备上看到的 BitLocker 密钥。 命令提示符

  6. 设备重启时,继续按 F4 ,然后它会将你登录到安全模式。

  7. 进入安全模式后,右键单击“开始”,单击“运行”,在“打开”框中键入 cmd,然后单击“确定”。 安全模式命令提示符

  8. 如果系统驱动器与 C:\不同,请键入 C: ,然后按 Enter。 这会切换到 C:\ 驱动器。

  9. 键入以下命令,然后按 Enter

    提示:  CD C:\Windows\System32\drivers\CrowdStrike

    注意 在此示例中,C 是系统驱动器。 这会更改为 CrowdStrike 目录。

  10. CrowdStrike 目录中,找到匹配“C-00000291*.sys”的文件。 为此,请键入以下命令,然后按 Enter

    dir C-00000291*.sys

  11. 永久删除找到的文件 () 。 为此,请键入以下命令,然后按 Enter

    del C-00000291*.sys

  12. 手动搜索与“C-00000291*.sys”匹配的任何文件并将其删除。

  13. 重新启动设备。

  1. 按住电源按钮 10 秒钟以关闭设备,然后再次按电源按钮以打开设备。

  2. 在 Windows 登录屏幕上,按住 Shift 键,同时选择“电源 > 重启”。

  3. 设备重启到“选择选项”屏幕后,选择“排查 > 高级选项> 启动设置 ”> 启用安全模式。  然后再次重启设备。注意系统可能会要求输入 BitLocker 恢复密钥。 设备重启时,继续按 F4 ,然后它会将你登录到安全模式。 请注意,对于某些设备,需要按 F11 通过安全模式登录。

  4. 如果屏幕要求提供 BitLocker 恢复密钥,请使用手机并登录到 https://aka.ms/aadrecoverykey。 使用电子邮件 ID 和域帐户密码登录,查找与设备关联的位保险箱恢复密钥。若要查找 BitLocker 恢复密钥,请单击“ 管理设备 > 查看 Bitlocker 密钥 > 显示恢复密钥

  5. 选择看到 BitLocker 提示的设备的名称。 在展开的窗口中,选择“ 查看 BitLocker 密钥”。 返回到设备并输入在手机或辅助设备上看到的 BitLocker 密钥。

  6. 设备重启时,继续按 F4 ,然后它会将你登录到安全模式。

  7. 进入安全模式后,右键单击“开始”,单击“运行”,在“打开”框中键入 cmd,然后单击“确定”。 安全模式命令提示符

  8. 如果系统驱动器与 C:\不同,请键入 C: ,然后按 Enter。 这会切换到 C:\ 驱动器。

  9. 键入以下命令,然后按 Enter

    提示:  CD C:\Windows\System32\drivers\CrowdStrike

    注意 在此示例中,C 是系统驱动器。 这会更改为 CrowdStrike 目录。

  10. CrowdStrike 目录中,找到匹配“C-00000291*.sys”的文件。 为此,请键入以下命令,然后按 Enter

    dir C-00000291*.sys

  11. 永久删除找到的文件 () 。 为此,请键入以下命令,然后按 Enter

    del C-00000291*.sys

  12. 手动搜索与“C-00000291*.sys”匹配的任何文件并将其删除。

  13. 重新启动设备。

方法 2:使用系统还原

Windows 11Windows 10

  1. 按住电源按钮 10 秒钟以关闭设备,然后再次按电源按钮以打开设备。

  2. 在 Windows 登录屏幕上,按住 Shift 键,同时选择“电源 > 重启”。

  3. 设备重启到“选择选项”屏幕后,选择“排查 > 高级选项 > 系统还原”。

  4. 如果屏幕要求提供 BitLocker 恢复密钥,请使用手机并登录到 https://aka.ms/aadrecoverykey。 使用电子邮件 ID 和域帐户密码登录,查找与设备关联的位保险箱恢复密钥。若要查找 BitLocker 恢复密钥,请单击“ 管理设备 > 查看 Bitlocker 密钥 > 显示恢复密钥

  5. 选择看到 BitLocker 提示的设备的名称。 在展开的窗口中,选择“ 查看 BitLocker 密钥”。 返回到设备并输入在手机或辅助设备上看到的 BitLocker 密钥。 命令提示符

  6. 单击“系统还原”上的“ 下一步”。

  7. 在列表中选择 “还原” 选项,单击“下一步”,然后单击“完成”。

  8. 单击“ ”以确认还原。注意这将仅执行 Windows 系统还原,个人数据不应受到影响。 此过程最多可能需要 15 分钟才能完成。

  1. 按住电源按钮 10 秒钟以关闭设备,然后再次按电源按钮以打开设备。

  2. 在 Windows 登录屏幕上,按住 Shift 键,同时选择“电源 > 重启”。

  3. 设备重启到“选择选项”屏幕后,选择“排查 > 高级选项 > 系统还原”。

  4. 如果屏幕要求提供 BitLocker 恢复密钥,请使用手机并登录到 https://aka.ms/aadrecoverykey。 使用电子邮件 ID 和域帐户密码登录,查找与设备关联的位保险箱恢复密钥。若要查找 BitLocker 恢复密钥,请单击“ 管理设备 > 查看 Bitlocker 密钥 > 显示恢复密钥

  5. 选择看到 BitLocker 提示的设备的名称。 在展开的窗口中,选择“ 查看 BitLocker 密钥”。 返回到设备并输入在手机或辅助设备上看到的 BitLocker 密钥。

  6. 单击“系统还原”上的“ 下一步”。

  7. 在列表中选择 “还原” 选项,单击“ 下一步”,然后单击“完成”。

  8. 单击“ ”以确认还原。注意这将仅执行 Windows 系统还原,个人数据不应受到影响。 此过程最多可能需要 15 分钟才能完成。

联系 CrowdStrike

如果在执行上述步骤后,登录设备时仍遇到问题,请联系 CrowdStrike 以获取其他帮助。

参考

在 Windows 中以安全模式启动电脑

本文中提到的第三方产品由 Microsoft 以外的其他公司提供。 对于这些产品的性能或可靠性,我们不作任何暗示保证或其他形式的保证

我们提供了第三方联系信息,以便你寻求技术支持。 该联系信息如有更改,恕不另行通知。 我们不保证此第三方联系信息的准确性。

订阅 RSS 源

需要更多帮助?

需要更多选项?

发现 社区

了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心

社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。

咨询 Microsoft 社区

Microsoft 技术社区

Windows 预览体验成员

Microsoft 365 预览体验