Deseja substituir o CrowdStrike Falcon Sensor no seu Windows 11, mas perdeu o “maintenance token”? Este guia detalhado mostra vários métodos — do mais prático ao mais radical — para remover o agente de forma segura, evitar travas do serviço CSAgent e liberar o sistema para um novo antivírus.
Visão geral do problema
Por padrão, o Falcon Sensor bloqueia sua própria desinstalação se o código de manutenção não for informado. Esse bloqueio é importante para empresas que precisam impedir a remoção do EDR (Endpoint Detection & Response), mas pode ser um obstáculo em máquinas pessoais ou de uso legado. A meta final é desinstalar totalmente o sensor e garantir que:
- os serviços
CSAgenteCSFalconServicefiquem parados / inexistentes; - pastas do CrowdStrike sejam removidas;
- o registro do Windows não mantenha referências pendentes;
- o instalador do antivírus sucessor seja executado sem conflitos.
Pré‑requisitos e alertas de segurança
- Backup completo: crie um ponto de restauração e copie dados importantes antes de editar o registro ou redefinir o PC.
- Direitos de administrador: todos os métodos exigem privilégio elevado.
- Conformidade corporativa: em equipamentos de empresa ou escola, obtenha autorização escrita do TI — a remoção não autorizada pode violar políticas internas.
- Token oficial: se a estação ainda estiver registrada na console CrowdStrike, peça o código — ele é a forma suportada e menos arriscada.
Como o Falcon Sensor bloqueia a desinstalação
O driver assina seus próprios processos e monitora alterações de serviço via kernel. Mesmo em Safe Mode, o serviço pode reiniciar usando chaves do registry. Definir START = 4 (Desativado) remove a carga automática, porém ainda deixa arquivos em disco. Por isso, a união de Safe Mode + limpeza de registro + CSUninstallTool.exe costuma ter maior taxa de sucesso.
Matriz de soluções rápidas
| Abordagem | Passos principais | Quando usar / Observações |
|---|---|---|
| A) Registro + CSUninstallTool | Reinicie em Safe Mode with Networking. Abra regedit como Administrador e exporte backup. Defina START = 4 nos serviços CSAgent e CSFalconService. Exclua as chaves: HKLM\SYSTEM\CurrentControlSet\Services\CSFalconService HKLM\System\CrowdStrike HKLM\SYSTEM\CurrentControlSet\Services\CSAgent\Sim HKLM\SYSTEM\CurrentControlSet\Services\CSAgent Reinicie normalmente. Abra CMD elevado, acesse a pasta do sensor e executeCSUninstallTool.exe /quiet. Confirme com sc query csagent — erro 1060 = removido. | Remoção mais completa; exige cuidado no registro e acesso físico irrestrito. |
| B) Linha de comando direta | Abra CMD como Admin. Navegue até C:\Program Files\CrowdStrike\. Tente CSUninstallTool.exe -repair -uninstall. | Rápido; funciona se a compilação do executável não exigir token. |
| C) Safe Mode + Exclusão manual | Entre em Safe Mode (msconfig → Boot → Safe Boot). Exclua pastas:C:\Program Files\CrowdStrike\C:\ProgramData\CrowdStrike\ Remova chaves:HKLM\SOFTWARE\CrowdStrikeHKLM\SYSTEM\CurrentControlSet\Services\CSFalconService | Dispensa token; método “força bruta” que já se mostrou eficaz. |
| D) Acionar o suporte CrowdStrike | Abra chamado e solicite token ou remoção remota. | Ideal para ambientes gerenciados que exigem rastreabilidade. |
| E) Redefinição do Windows | Configurações → Sistema → Recuperação → Redefinir este PC (“Não manter arquivos pessoais”). | Último recurso, apaga tudo; faça backup. |
Passo a passo detalhado
Abordagem A — Edição do registro + CSUninstallTool (recomendada)
- Reiniciar em modo seguro com rede garante que o driver não carregue totalmente.
- Backup do registro: em
regedit, clique em Arquivo → Exportar. - Desabilitar serviços: HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\CSAgent HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\CSFalconService Edite o valor
STARTpara4. - Excluir chaves secundárias para impedir respawn do driver.
- Reiniciar no modo normal.
- Executar a ferramenta silenciosamente: cd “C:\Program Files\CrowdStrike\” CSUninstallTool.exe /quiet
- Validar:
sc query csagentdeve retornar[SC] OpenService FAILED 1060.
Dica: Caso o executável exija token, repita em Safe Mode e use parâmetros -forceuninstall (não documentado em algumas builds).
Abordagem B — Linha de comando direta
Funciona em versões antigas do sensor onde a verificação do token é flexível. Execute:
cd "C:\Program Files\CrowdStrike\" CSUninstallTool.exe -repair -uninstall
Se aparecer prompt pedindo token, cancele e migre para a Abordagem A ou C.
Abordagem C — Safe Mode + Exclusão manual
- Abra
msconfig, marque Safe Boot → Minimal, reinicie. - Delete as duas pastas de programa e dados.
- Limpe o registry das chaves mostradas na tabela.
- Volte ao msconfig, desmarque Safe Boot e reinicie.
- Execute
sc query csagent; não deve existir.
Abordagem D — Suporte oficial
Abra ticket no portal da CrowdStrike ou telefone. Explique que o equipamento saiu do domínio, forneça número de série e peça o token. Normalmente, o suporte responde em poucas horas — método mais seguro para ambientes corporativos.
Abordagem E — Redefinir este PC
Se o sensor bloqueou até o Modo Seguro ou se suspeitar de corrupção no registro, a reinstalação limpa do Windows garante remoção completa. Use mídia oficial ou a opção interna de recuperação.
Pós‑remoção: checklist de verificação
- Serviços
CSAgenteCSFalconServiceinexistentes. - Pastas CrowdStrike ausentes em
Program FileseProgramData. - Chaves do registry inexistentes ou com
START = 4. - Ferramentas de terceiros (Process Explorer, Autoruns) não mostram drivers do fornecedor.
- Instalador do novo antivírus roda sem alertar sobre produtos em conflito.
Perguntas frequentes
Alterar START para 4 já resolve?
Não. Esse valor apenas impede que o serviço suba na inicialização; arquivos e drivers continuam ocupando disco e possíveis hooks de kernel.
Posso desfazer se algo der errado?
Sim, usando o ponto de restauração ou o backup do registro exportado antes das alterações.
Há diferença entre Windows 10 e 11?
Os nomes de serviço e caminhos são idênticos; o principal cuidado é com o controle de Boot Secure, que pode exigir desativar proteção de integridade para carregar em modo seguro.
Conclusão
Remover o CrowdStrike Falcon Sensor sem o maintenance token é totalmente possível, mas o processo exige disciplina para não corromper o sistema. Comece sempre pelos métodos menos invasivos (token oficial ou CSUninstallTool.exe) e avance para limpeza manual apenas se necessário. Ao final, confirme a ausência do serviço com sc query csagent e instale seu novo antivírus com confiança.