Guía de Recuperación para Problemas: Falcon Sensor de CrowdStrike
Ciberataques
NextVision
0
Guía de Recuperación para Problemas: Falcon Sensor de CrowdStrike
Este manual proporciona instrucciones detalladas para eliminar el archivo problemático del controlador de CrowdStrike que causa BSODs, ya sea mediante un script automatizado o siguiendo pasos manuales, garantizando así la estabilidad y seguridad de sus sistemas Windows.
Opción 1: Usar el Script Automatizado
Paso 1: Preparar el Entorno
- Reiniciar el Host:
- Reinicie el host afectado para darle la oportunidad de descargar el archivo del canal revertido. Si el host sigue fallando, continúe con los siguientes pasos.
Paso 2: Arrancar en Modo Seguro
- Acceder al Modo Seguro:
- Reinicie el sistema.
- Antes de que aparezca la pantalla de inicio de Windows, presione repetidamente la tecla F8 para acceder a las opciones de arranque avanzadas.
- Seleccione Modo Seguro y presione Enter.
Paso 3: Paso 3: Ejecutar el Script en PowerShell
- Abrir PowerShell:
- En Modo Seguro, abra PowerShell como administrador.
- Haga clic en Inicio, escriba PowerShell, haga clic derecho en Windows PowerShell y seleccione Ejecutar como administrador.
- En Modo Seguro, abra PowerShell como administrador.
- Copiar el Script:
- Copie el siguiente script en el powershell
# CrowdStrikeFix.ps1
# Este script automatiza la eliminación del archivo problemático del controlador de CrowdStrike que causa BSODs y revierte el arranque en modo seguro.
$filePath = “C:\Windows\System32\drivers\C-00000291*.sys”
$files = Get-ChildItem -Path $filePath -ErrorAction SilentlyContinue
foreach ($file in $files) {
try {
Remove-Item -Path $file.FullName -Force
Write-Output “Deleted: $($file.FullName)”
} catch {
Write-Output “Failed to delete: $($file.FullName)”
}
}
# Revertir el arranque en modo seguro después de la corrección
bcdedit /deletevalue {current} safeboot
- Pegar y Ejecutar el Script:
- Pegue el script en la ventana de PowerShell.
- Presione Enter para ejecutar el script.
- Reiniciar el Host:
- Reinicie el host normalmente y verifique que el problema esté resuelto.
Opción 2: Pasos Manuales
Paso 1: Preparar el Entorno
- Reiniciar el Host:
- Reinicie el host afectado para darle la oportunidad de descargar el archivo del canal revertido. Si el host sigue fallando, continúe con los siguientes pasos.
Paso 2: Arrancar en Modo Seguro o Entorno de Recuperación
- Acceder al Modo Seguro:
- Reinicie el sistema.
- Antes de que aparezca la pantalla de inicio de Windows, presione repetidamente la tecla F8 para acceder a las opciones de arranque avanzadas.
- Seleccione Modo Seguro y presione Enter.
- Opción alternativa:
- Si no puede acceder al Modo Seguro con F8, intente lo siguiente:
- Arranque el sistema y mantenga presionada la tecla Shift mientras selecciona Reiniciar en el menú de apagado.
- En la pantalla de opciones, seleccione Solucionar problemas > Opciones avanzadas > Configuración de inicio > Reiniciar.
- Presione F4 para arrancar en Modo Seguro.
- Si no puede acceder al Modo Seguro con F8, intente lo siguiente:
- Acceder al Entorno de Recuperación de Windows (WinRE):
- Reinicie el sistema.
- Antes de que aparezca la pantalla de inicio de Windows, presione repetidamente la tecla F8 para acceder a las opciones de arranque avanzadas.
- Seleccione Solucionar problemas > Opciones avanzadas > Entorno de recuperación.
Paso 3: Navegar hasta el Directorio de CrowdStrike
- Abrir el Explorador de Archivos:
- En Modo Seguro o en WinRE, abra el Explorador de Archivos (también conocido como “Mi PC” o “Este equipo”).
- Navegar al Directorio:
- Diríjase a la siguiente ubicación: C:\Windows\System32\drivers\CrowdStrike.
Paso 4: Localizar y Eliminar el Archivo Problemático
- Buscar el Archivo:
- En el directorio CrowdStrike, localice el archivo que coincida con el patrón C-00000291*.sys.
- Eliminar el Archivo:
- Haga clic derecho sobre el archivo y seleccione Eliminar.
- Confirme la eliminación si se le solicita.
Paso 5: Revertir el Arranque en Modo Seguro
- Abrir PowerShell:
- En Modo Seguro, abra PowerShell como administrador.
- Haga clic en Inicio, escriba PowerShell, haga clic derecho en Windows PowerShell y seleccione Ejecutar como administrador.
- En Modo Seguro, abra PowerShell como administrador.
- Comando para Revertir:
- En la ventana de PowerShell, ejecute el siguiente comando para revertir el arranque en modo seguro:
powershell
Copiar código
bcdedit /deletevalue {current} safeboot
Paso 6: Reiniciar el Host
- Reiniciar Normalmente:
- Cierre PowerShell.
- Reinicie el host normalmente y verifique que el problema esté resuelto.
Nota:
- Si el host está cifrado con BitLocker, es posible que se requiera una clave de recuperación durante este proceso.
La Ciberseguridad la hacemos Juntos.
- Contactos: soporte@nextvision.com
- Source: https://supportportal.crowdstrike.com/s/article/Tech-Alert-Windows-crashes-related-to-Falcon-Sensor-2024-07-19
- https://www.eye.security/blog/crowdstrike-falcon-blue-screen-issue-updates
- Conoce nuestras novedades en LinkedIn
Comments are closed.