【全手順解説】世界各地でブルースクリーンが発生し「csagent.sys」とブルースクリーン画面に表示されてパソコンが使えない状態は以下の方法で使えるようになります。
複数の会社法人から同様の相談があり検証した結果、こちらの方法でパソコン(サーバー)Windows VM(仮想マシン)が起動できるようになり業務が再開できています。
VM(仮想マシン)で不具合が起きる前のバックアップがある場合はロールバックすればそれだけで解決します。
csagent.sysブルースクリーンを修復して使えるようにする方法
- PCの電源ボタンを10秒以上長押しして、電源をオフにする。
- 電源ボタンを押してPCの電源をオンにする。
- Windows 10の起動が開始された(小さな白い丸がクルクルと回り始めたら)、再び電源ボタンを長押しして、PCの電源を切る。今度はブルースクリーン表示がされるまで待ちます
- ブルースクリーンの画面で「詳細オプション」ボタンがあるか確認、なければ手順1〜3を繰り返す
- Windowsをセーフモードで起動する ※この記事の中盤で解説
- エクスプローラで「C:¥Windows¥System32¥drivers¥CrowdStrike」フォルダーを開く
- 「C-00000291*.sys」ファイルを検索し、検索にヒットしたファイルをすべて削除
- Windowsを再起動する
「C-00000291*.sys」ファイルの検索方法がわからないときはC-00000291からはじまるファイルをすべて削除します。
csagent.sysブルースクリーンの具体的な修復手順
初回ブルースクリーンが出たときは「詳細オプション」ボタンがでてきません。
まずは何回か電源を切って起動するを繰り返していると自動修復画面で「詳細オプション」ボタンが表示されるようになります。
自動修復完了後の画面で「詳細オプション」をクリックします。
「詳細オプション」をクリックします。
「スタートアップ設定」をクリックします。
「再起動」をクリックします。
再起動後にスタートアップ設定画面が表示されるので数字キーで「セーフモードを有効にする」を選択するとセーフモードが起動します。
画面下のスタートボタンを右クリックし、表示された「クイックリンク」 メニューから[エクスプローラー]をクリックします。
またはキーボードの 「Windowsロゴ」 + 「E」 キーでもエクスプローラーが起動できます。
- エクスプローラで「C:¥Windows¥System32¥drivers¥CrowdStrike」フォルダーを開く
- 「C-00000291*.sys」ファイルを検索し、検索にヒットしたファイルをすべて削除
- Windowsを再起動する
「C-00000291*.sys」ファイルの検索方法がわからないときはC-00000291からはじまるファイルをすべて削除します。
これで問題なく起動するようになります。
コマンドプロンプトで一括削除する方法
わざわざエクスプローラで検索して削除するのは面倒だしわからない場合はコマンドプロンプトで1行実行するだけで削除する方法も紹介しておきます。
クラウドストライクのファイルはWindowsのSystemファイルが保存されているディレクトリにあり、これは管理者でないと削除できないのでこちらはセーフモードでかつ管理者として実行する必要があります。
セーフモードで起動した後にコマンドプロンプトを管理者権限で起動して以下の1行を実行するだけでも削除されて起動できるようになります。
コマンドプロンプトを管理者権限で実行するには検索ボックスに「cmd」と入力して出てきたコマンドプロンプトの「管理者として実行」をクリックすれば管理者で実行できます。
以下の1行を実行して再起動すれば無事に起動できるようになります。
DEL “C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys”
Delete-problematic-CrowdStrike-files.txtのダウンロード
「csagent.sys」ブルースリーンの原因
「csagent.sys」表示のブルースクリーンで起動できない原因は
CrowdStrike Falcon Sensorというクラウド型のセキュリティソフトに含まれているドライバが不具合を起こしたことが原因です。
「csagent.sys」はWindowsの起動時にドライバとして読み込まれますので読み込まれた瞬間クラッシュしてブルスクリーン表示されます。
CrowdStrike Falcon Sensorを削除したりダウングレードすると解決しますがすぐに対処できないのでこの方法では原因となっているCrowdStrike Falcon Sensorの原因ファイルを削除することでWindows起動時に読み込まれないようにしてエラーを回避するという方法を紹介しています。
今後、CrowdStrikeから修正パッチがでてきて修復されると思いますのでそれまでの対処となります。
クラウドストライクは責任を取る必要があるのか?
これはありません。
確認したところ免責事項で定められているので保障内容はCrowdStrike Falcon Sensorの購入金額までとなっていましたのでクラウドストライク側が保障としてお金を払う事態ににはならないでしょう。
ただこのCrowdStrike Falcon Sensorはサブスクリプション契約なので次回の更新契約はとれずに売上が落ちてくることが予測できます。
個人的にはセンチネルワンやパルアルトネットワークに乗り換えがされると思っています。
クラウドストライク株は買いなのか?
クラウドストライク(ティッカーシンボル:CRWD)は昨日15%ほど窓を開けて下落しましたが200MAにサポートされました。
安いから買うというのはギャンブルかと思われます。
今後会社側は保障を求められれる可能性もあり最悪会社がなくなります。個人的な予測としてはよくてこの開けた窓を閉めた後に200MAを割って下落すると考えています。
こちらの内容はSNSなどで自由にシェアしてもらってもOKです。
いじょうー!この記事が参考になれば幸いです。
