lordofremixes
Goto Top

Crowdstrike Problem - best Practise gesucht

Hallo zusammen,

die meisten von euch haben es ja bereits mitbekommen, ein Crowdstrike Update legt diverse Rechner lahm.
Also kann man als Admin ja den Workaround bedienen:

from elevated cmd prompt:
del C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys

Jetzt würde ich gerne einen USB Stick erstellen, der nichts anderes macht als eine cmd auszuführen, der nach dem Booten genau diesen Befehl durchführt und natürlich auch die richtige Partition auswählt..

Alles was ich bisher über rufus, autoconfig.inf versucht habe, scheitert aktuell. Jemand eine brauchbare Lösung dafür?

Grüße an alle

Content-ID: 53857338259

Url: https://administrator.de/forum/crowdstrike-problem-best-practise-gesucht-53857338259.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

adminst
adminst 19.07.2024 aktualisiert um 15:20:57 Uhr
Goto Top
Hallo lordofremixes
Du müsstest ja egal ob USB Stick oder pxe boot ein OS booten welches die Disk mounten kann.
Wenn die Disk gemountet ist, kannst du die Files löschen lassen.

Du hast evtl. auch noch ein paar Gegenspieler wie z.B. Bitlocker ...

Gruss
adminst
lordofremixes
lordofremixes 19.07.2024 um 15:24:12 Uhr
Goto Top
Hi,
Bitlocker wäre jetzt nicht das Problem bei den übrig gebliebenen Systemen.
Genau das suche ich, ein einfachstes OS das automatisch mountet und diese Datei löscht.

Gruß
lordofremixes
lordofremixes
lordofremixes 19.07.2024 um 15:29:47 Uhr
Goto Top
Ohne irgendeine Benutzereingabe....
pebcak7123
Lösung pebcak7123 19.07.2024 aktualisiert um 15:32:42 Uhr
Goto Top
Passendes WinPE-Image aus dem Windows ADK nehmen und mounten und der startnet.cmd Datei die unter %SYSTEMROOT%\System32 liegt die folgenden zeilen hinzufügen
del C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys
exit

dann wieder entmounten und mit rufus oä bootbar machen und auf nen pxe-server oder usb stick spielen
davon booten - fertig
maretz
maretz 19.07.2024 um 15:48:36 Uhr
Goto Top
ich würde auch entweder nen live-os oder winpe versuchen... sonst wird das aus gutem grund nich so einfach gehen -> überlege doch mal selbst kurz, du willst in nem System-Verzeichnis irgendwas löschen und das per autorun oder sonstwie? Wer würde dich denn daran hintern nich nur C-...Sys zu nehmen - sondern *.*? Wäre dann ziemlich blöd wenn sowas noch funktionieren würde...

du kannst natürlich mittels runas und ner batch-file das zumindest auf nem doppelklick reduzieren (sofern derjenige denn admin-rechte hat) bzw. die person muss eben mittels "ausführen als" das ganze als admin machen... oder du verteilst per gpo nen geplanten task der genau einmal das beim startup ausführt ...
kaiand1
kaiand1 19.07.2024 um 15:50:09 Uhr
Goto Top
PXE Boot Live Linux zb GRML nehmen und die Datei Löschen.
Per Script kannst du dann gleich sagen das nach Löschung der PC nicht mehr per PXE Booten soll und auch in eine DB Schreiben welcher Rechner schon gesäubert wurde für den Abgleich welche noch ggfs Betroffen sind....
C.R.S.
C.R.S. 19.07.2024 um 15:54:43 Uhr
Goto Top
Der Bluescreen kommt offenbar spät genug, dass auch ein Löschung von C-00000291-00000000-00000029.sys per GPP mit zwei Neustarts weitgehend hilft.
Lochkartenstanzer
Lochkartenstanzer 19.07.2024 um 16:45:01 Uhr
Goto Top
Moin,

Einfach da ct-Notfallwindows nehmen und ein startscript einpacken.

lks
FreeAfterUseException
FreeAfterUseException 19.07.2024 aktualisiert um 17:12:20 Uhr
Goto Top
Moin,

müsste ein PendingFileRenameOperations Eintrag unter HKLM\SYSTEM\CurrentControlSet\Control\Session Manager nicht auch funzen, ohne dass man in den abgesicherten Modus bootet?
kgborn
kgborn 20.07.2024 um 00:24:54 Uhr
Goto Top
Nur ein kurzer Hinweis - weiß nicht, ob es umsetzbar ist. Aber auf GitHub hat jemand eine GPO gepostet, um die Dateien im abgesicherten Modus zu entfernen.
MysticFoxDE
MysticFoxDE 20.07.2024 aktualisiert um 09:13:39 Uhr
Goto Top
Moin @zusammen,

wir haben zwar keine Kunden die dieses Problem betrifft, dennoch habe ich mir dazu ein paar Gedanken gemacht.
Und zwar würde ich die betroffenen Rechner mit einem Windows 11 ToGo hochfahren, welches sich sehr einfach mit Rufus erstellen lässt. Und wenn die Systemplatte des geschädigten Rechners nicht per BitLocker verschlüsselt ist, dann erschein diese bei Windows 11 ToGo als ein ganz normales zusätzliches Laufwerk.

Dann würde ich auf dem Windows 11 ToGo noch das folgende Power-Shell Script ausführen ...
(!!! Power-Shell als Administrator starten !!!)
$pattern = "C-00000291*.sys"  
$directory = "\Windows\System32\drivers\CrowdStrike\"  

$drives = Get-PSDrive -PSProvider 'FileSystem'  

foreach ($drive in $drives) {
    $path = Join-Path -Path $drive.Root -ChildPath $directory
    if (Test-Path -Path $path) {
        $files = Get-ChildItem -Path $path -Filter $pattern
        foreach ($file in $files) {
            Remove-Item -Path $file.FullName -Force
            Write-Host "File deleted: $($file.FullName)"  
        }
    }
} 

und schon sollte das Original OS wieder ganz normal booten. 😉

Bei einer VM ist es noch einfacher.
Einfach die Systemplatte der ausgefallenen VM unter eine funktionierende mounten, das gleiche Script ausführen, dann die Platte wieder der ursprünglichen VM wieder zuordnen und diese wieder wie gewohnt starten.

Gruss Alex
PeterGyger
PeterGyger 21.07.2024 um 13:36:51 Uhr
Goto Top
Hallo

Ohne Garantie oder Erfahrung damit, da wir nicht betroffen waren.

Step-by-Step Guide to Fix the Crowdstrike BSOD


Beste Grüsse
Looser27
Looser27 22.07.2024 um 09:08:10 Uhr
Goto Top
Moin,

es gibt noch weitere Hilfestellungen für betroffene Systeme....

https://www.heise.de/news/Crowdstrike-Ausfaelle-Microsoft-veroeffentlich ...
Michi91
Michi91 22.07.2024 um 10:56:27 Uhr
Goto Top
Hier Microsoft Support für Crowdstrike werden noch Lösungen für AWS, GoogleCloud und Azure vorgestellt.

Ich finde den Weg über GPO's tatsächlich auch sehr smart, sofern man eine AD Umgebung hat
CamelCase
CamelCase 22.07.2024 aktualisiert um 13:04:18 Uhr
Goto Top
Falls noch nicht bekannt:

https://www.crowdstrike.com/wp-content/uploads/2024/07/Using-the-Microso ...

Semi-automatisierte Erstellung eines USB-Sticks, der semi-automatisiert betroffene Computer wieder lauffähig macht.
Auch mit BitLocker, falls Recovery-Key vorhanden.