Jul 19, 2024, updated at Jul 20, 2024 (UTC)

2281

Crowdstrike Problem - best Practise gesucht

Hallo zusammen,

die meisten von euch haben es ja bereits mitbekommen, ein Crowdstrike Update legt diverse Rechner lahm.
Also kann man als Admin ja den Workaround bedienen:

from elevated cmd prompt:
del C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys

Jetzt würde ich gerne einen USB Stick erstellen, der nichts anderes macht als eine cmd auszuführen, der nach dem Booten genau diesen Befehl durchführt und natürlich auch die richtige Partition auswählt..

Alles was ich bisher über rufus, autoconfig.inf versucht habe, scheitert aktuell. Jemand eine brauchbare Lösung dafür?

Grüße an alle

Please also mark the comments that contributed to the solution of the article

Content-Key: 53857338259

Url: https://administrator.de/contentid/53857338259

Printed on: July 27, 2024 at 11:07 o'clock

15 Comments

Latest comment

Hallo lordofremixes
Du müsstest ja egal ob USB Stick oder pxe boot ein OS booten welches die Disk mounten kann.
Wenn die Disk gemountet ist, kannst du die Files löschen lassen.

Du hast evtl. auch noch ein paar Gegenspieler wie z.B. Bitlocker ...

Gruss
adminst

Hi,
Bitlocker wäre jetzt nicht das Problem bei den übrig gebliebenen Systemen.
Genau das suche ich, ein einfachstes OS das automatisch mountet und diese Datei löscht.

Gruß
lordofremixes

Ohne irgendeine Benutzereingabe....

Passendes WinPE-Image aus dem Windows ADK nehmen und mounten und der startnet.cmd Datei die unter %SYSTEMROOT%\System32 liegt die folgenden zeilen hinzufügen

del C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys
exit

dann wieder entmounten und mit rufus oä bootbar machen und auf nen pxe-server oder usb stick spielen
davon booten - fertig

ich würde auch entweder nen live-os oder winpe versuchen... sonst wird das aus gutem grund nich so einfach gehen -> überlege doch mal selbst kurz, du willst in nem System-Verzeichnis irgendwas löschen und das per autorun oder sonstwie? Wer würde dich denn daran hintern nich nur C-...Sys zu nehmen - sondern *.*? Wäre dann ziemlich blöd wenn sowas noch funktionieren würde...

du kannst natürlich mittels runas und ner batch-file das zumindest auf nem doppelklick reduzieren (sofern derjenige denn admin-rechte hat) bzw. die person muss eben mittels "ausführen als" das ganze als admin machen... oder du verteilst per gpo nen geplanten task der genau einmal das beim startup ausführt ...

PXE Boot Live Linux zb GRML nehmen und die Datei Löschen.
Per Script kannst du dann gleich sagen das nach Löschung der PC nicht mehr per PXE Booten soll und auch in eine DB Schreiben welcher Rechner schon gesäubert wurde für den Abgleich welche noch ggfs Betroffen sind....

Der Bluescreen kommt offenbar spät genug, dass auch ein Löschung von C-00000291-00000000-00000029.sys per GPP mit zwei Neustarts weitgehend hilft.

Moin,

Einfach da ct-Notfallwindows nehmen und ein startscript einpacken.

lks

Moin,

müsste ein PendingFileRenameOperations Eintrag unter HKLM\SYSTEM\CurrentControlSet\Control\Session Manager nicht auch funzen, ohne dass man in den abgesicherten Modus bootet?

Nur ein kurzer Hinweis - weiß nicht, ob es umsetzbar ist. Aber auf GitHub hat jemand eine GPO gepostet, um die Dateien im abgesicherten Modus zu entfernen.

Moin @zusammen,

wir haben zwar keine Kunden die dieses Problem betrifft, dennoch habe ich mir dazu ein paar Gedanken gemacht.
Und zwar würde ich die betroffenen Rechner mit einem Windows 11 ToGo hochfahren, welches sich sehr einfach mit Rufus erstellen lässt. Und wenn die Systemplatte des geschädigten Rechners nicht per BitLocker verschlüsselt ist, dann erschein diese bei Windows 11 ToGo als ein ganz normales zusätzliches Laufwerk.

Dann würde ich auf dem Windows 11 ToGo noch das folgende Power-Shell Script ausführen ...
(!!! Power-Shell als Administrator starten !!!)

$pattern = "C-00000291*.sys"  
$directory = "\Windows\System32\drivers\CrowdStrike\"  

$drives = Get-PSDrive -PSProvider 'FileSystem'  

foreach ($drive in $drives) {
    $path = Join-Path -Path $drive.Root -ChildPath $directory
    if (Test-Path -Path $path) {
        $files = Get-ChildItem -Path $path -Filter $pattern
        foreach ($file in $files) {
            Remove-Item -Path $file.FullName -Force
            Write-Host "File deleted: $($file.FullName)"  
        }
    }
} 

und schon sollte das Original OS wieder ganz normal booten. 😉

Bei einer VM ist es noch einfacher.
Einfach die Systemplatte der ausgefallenen VM unter eine funktionierende mounten, das gleiche Script ausführen, dann die Platte wieder der ursprünglichen VM wieder zuordnen und diese wieder wie gewohnt starten.

Gruss Alex

Hallo

Ohne Garantie oder Erfahrung damit, da wir nicht betroffen waren.

Step-by-Step Guide to Fix the Crowdstrike BSOD

Beste Grüsse

Moin,

es gibt noch weitere Hilfestellungen für betroffene Systeme....

https://www.heise.de/news/Crowdstrike-Ausfaelle-Microsoft-veroeffentlich ...

Hier Microsoft Support für Crowdstrike werden noch Lösungen für AWS, GoogleCloud und Azure vorgestellt.

Ich finde den Weg über GPO's tatsächlich auch sehr smart, sofern man eine AD Umgebung hat

Falls noch nicht bekannt:

https://www.crowdstrike.com/wp-content/uploads/2024/07/Using-the-Microso ...

Semi-automatisierte Erstellung eines USB-Sticks, der semi-automatisiert betroffene Computer wieder lauffähig macht.
Auch mit BitLocker, falls Recovery-Key vorhanden.

German solved Question Windows 10