[已解决]求助！eset不小心用hips锁死了系统

WhiteCruel

B100D1E55 发表于 2018-7-14 14:19
@qftest 同学的方法显然更便捷

我试着用虚拟机模拟了一下你的情况，最简单的解决方案：

首先感谢你抽空用虚拟机复现了我的情况，目前还没借到朋友的笔记本，我暂时尝试用@qftest 提供的命令行删掉了这个hipsrules.bin，虽然成功进入系统了，但所有程序也打不开，看了下eset目录，这个文件又复活了，重启又进不去系统了。。。
所以eset有没有可能备份了这个文件？能否通过命令行禁止这个文件的再生成呢？或者直接删掉eset的一些配置文件，不要让它生成这个文件了。我担心在PE下删除Hipsrules后，开机时又复活。。。

B100D1E55

WhiteCruel 发表于 2018-7-15 01:33
首先感谢你抽空用虚拟机复现了我的情况，目前还没借到朋友的笔记本，我暂时尝试用@qftest 提供的命令行删 ...

我当时PE下删除hipsrules.bin后可以进入系统并且可以打开程序，但是打开ESET GUI里面还是有那条规则，删掉后就没问题了。所以我不知道你进入系统后所有程序打不开是什么情况……
你删除的是这个路径吗？C:\ProgramData\ESET\ESET Security\HipsRules.bin

驭龙

B100D1E55 发表于 2018-7-15 06:02
我当时PE下删除hipsrules.bin后可以进入系统并且可以打开程序，但是打开ESET GUI里面还是有那条规则，删 ...

其实我昨天就想说，没有用的，删除规则也无法取消相关设置的HIPS规则

修复方法是在PE下，把ESET主文件夹和驱动移动到其他位置，正常进入系统以后，把文件和驱动放回去，然后运行卸载程序，重启动以后重新安装ESET

B100D1E55

驭龙 发表于 2018-7-15 09:35
其实我昨天就想说，没有用的，删除规则也无法取消相关设置的HIPS规则

修复方法是在PE下，把ESET主文件 ...

我复现的时候删那个HIPS文件是可以修复的

驭龙

B100D1E55 发表于 2018-7-15 11:39
我复现的时候删文件是可以修复的

那个是普通的添加规则，如果是添加规则的时候造成的特殊BUG锁死，你说的方法是无法解决的，而且这种BUG没法复现，就算重新设置相同的规则，有时候也无法复现

B100D1E55

驭龙 发表于 2018-7-15 11:46
那个是普通的添加规则，如果是添加规则的时候造成的特殊BUG锁死，你说的方法是无法解决的，而且这种BUG没 ...

嗯刚才试了一下，直接删掉安装文件夹也行

驭龙

B100D1E55 发表于 2018-7-15 12:03
嗯刚才试了一下，直接删掉安装文件夹也行

是的，仅删除主文件夹，不删除驱动，也可以，但为了成功率，我推荐双移动，正常启动系统以后，放回去，就可以完美的正常卸载了

qftest

WhiteCruel 发表于 2018-7-15 01:26
我在带命令提示符的安全模式下运行了你说的代码(盲操作)，第一次重启后能看到欢迎界面，带进入桌面后黑屏 ...

盲操作。。。我不知道删除自定义规则文件后程序仍然打不开是什么鬼
这样的话你可以试试下面的命令
cd %programfiles%
rd /s /q eset
我就不信eset自保那么厉害，重启后还可以满血复活
重启电脑后删除%programdata%\eset这个配置文件夹，然后再重装一次eset
以上是YY的仅供参考，没有实际验证过

qftest

B100D1E55 发表于 2018-7-15 06:02
我当时PE下删除hipsrules.bin后可以进入系统并且可以打开程序，但是打开ESET GUI里面还是有那条规则，删 ...

理论上自定义规则文件丢失后eset是会自动应用回默认规则的，不知道lz的为什么不行，莫非新版有所改变

qftest

驭龙 发表于 2018-7-15 09:35
其实我昨天就想说，没有用的，删除规则也无法取消相关设置的HIPS规则

修复方法是在PE下，把ESET主文件 ...

lz的pe用不上