[已解决]求助！eset不小心用hips锁死了系统

驭龙

qftest 发表于 2018-7-15 13:01
lz的pe用不上

所以只需要把你58楼的命令改一下就OK了

qftest

驭龙 发表于 2018-7-15 11:46
那个是普通的添加规则，如果是添加规则的时候造成的特殊BUG锁死，你说的方法是无法解决的，而且这种BUG没 ...

看不懂
eset的非默认规则都是保存于hipsrules.bin或xml，只要删了就行了

驭龙

qftest 发表于 2018-7-15 13:03
看不懂
eset的非默认规则都是保存于hipsrules.bin或xml，只要删了就行了

好像有其他的存储方法

qftest

驭龙 发表于 2018-7-15 13:04
不是，应该跟注册表有关

注册表里虽然保存有规则备份信息，但eset运行时是直接读取自定义规则文件，并不会读取注册表信息
于是才会出现B大下面这种情况

我当时PE下删除hipsrules.bin后可以进入系统并且可以打开程序，但是打开ESET GUI里面还是有那条规则

此时实际应用的其实是eset默认规则而已

驭龙

qftest 发表于 2018-7-15 13:10
注册表里虽然保存有规则备份信息，但eset运行时是直接读取自定义规则文件，并不会读取注册表信息
于是才 ...

我说过，某些情况下会有BUG的情况，而楼主的情况也是删除规则文件无效，不是么？

qftest

驭龙 发表于 2018-7-15 13:13
我说过，某些情况下会有BUG的情况，而楼主的情况也是删除规则文件无效，不是么？

摊手，无语

驭龙

qftest 发表于 2018-7-15 13:19
摊手，无语

其实我也是遇到过一次，所以才知道这bug，当时我进入安全模式删除规则文件，可惜回到正常模式还是锁定程序，具体原因我也不明白

ELOHIM

WhiteCruel 发表于 2018-7-15 01:26
我在带命令提示符的安全模式下运行了你说的代码(盲操作)，第一次重启后能看到欢迎界面，带进入桌面后黑屏 ...

这个时候，可以试一下 msconfig 将系统设置为 诊断启动模式。

WhiteCruel

我的问题终于解决了！首先再次感谢各位dalao的鼎力相助@pal家族 @wusiyuanjh @B100D1E55 @www-tekeze @劲野 @qftest @HEMM @驭龙 @ELOHIM （应该没漏掉谁吧 滑稽），真没想到饭友们在短短几天里给我提供了这么多的热心帮助，对于我提出一些”小白问题“也不厌其烦地进行解释说明，一些人甚至还特意抽空模拟了我的情况进行分析，对于大家的倾囊相助，实在是感激不尽，没齿难忘！

-----------------------------------------------------------------------------------------------------------------------------

下面是我解决问题的经过，希望以后如果有哪位幸(dao)运(mei)的同学遇到同样的问题，可以对你提供一点点帮助。

一开始我使用了@qftest 在33楼方法，在带命令提示符的安全模式下（唯一可以运行的安全模式，其他的都蓝屏），黑着屏幕敲打了代码，但是刚进系统，立马又全锁了。。。但是后来在58楼提供的新命令没机会尝试，我猜测作用应该跟在PE下直接删除文件夹差不多吧？（题外话：敲命令行的时候记得看清代码中的两种斜杠“/”与“\”，不要跟我一样因为心急而犯下这种低级错误。。。）

然后按照@www-tekeze @劲野 提供的思路，借了台笔记本，拆下我的硬盘，做成了移动硬盘，用@B100D1E55 在35楼提供的卸载工具，在PE下按照官方的步骤执行，但CMD窗口一直提示“本工具必须在安全模式下运行”，不知道是不是我的姿势不对

无奈最后只能选择最简单粗暴——PE下直接删除eset文件夹了，虽然@B100D1E55 说过这样做可能会让内核出现问题，但我也只能死马当活马医了，直接删除Programdata和Program files下的eset文件夹，借助PE自带的DISM++工具将Eset的驱动文件删除（具体名字忘了，不过下面有备注说是eset的文件），重启后，熟悉的桌面回来了，程序也能正常打开了！

不过直接删除文件夹的话，必定会有一些残留的文件、服务、注册表项甚至驱动文件没清理干净，所以为了防止系统因此出现问题，所以我决定用Win10自带的重置电脑重装一下，毕竟这个基本不会删除系统盘的东西，比较方便。但问题来了，重置的时候说我的系统是Windows to go，无法使用这个功能。。。后来推测可能是因为在外接硬盘的时候启动过这个系统引起的(?)，在网上找到了解决办法，顺便放在这里给有需要的人吧。

1. 进入注册表 HKEY_LOCAL_MACHINE—SYSTEM—CurrentControlSet—Control 删除右边的 PortableOperatingSystem（或者值设为0）重启

复制代码

-----------------------------------------------------------------------------------------------------------------------------

通过这次事件，我个人认为可以给ESET官方提个建议，想法不成熟可能会引起dalao们的贻笑大方，就是不要允许创建这类“源程序”和后面的“指定程序”均为全部程序的规则，而且似乎这样的规则也没有意义？总之虽然这次不是ESET软件的锅（我创建这条规则的时候没有弹窗提示会影响系统的运行，不知算不算Bug），而是自己作死+不谨慎，但是保不齐后面还会有跟我一样“幸运”的人。
还有@pal家族 在45楼提到的UAC问题，也值得ESET借鉴。

至于谁来给官方提议，就交给英文好的同学吧（逃）


最后，再次感谢大家提供的无私帮助，祝各位身体健康，生活幸福！同时也祝卡饭论坛蒸蒸日上，越办越好！

WhiteCruel

qftest 发表于 2018-7-15 12:59
盲操作。。。我不知道删除自定义规则文件后程序仍然打不开是什么鬼
这样的话你可以试试下面的命令
cd % ...

我的电脑已经修好了，没法验证你的命令是否有效了哦。。。但还是感谢你！