Перейти к содержанию
p2u

Избегайте PCTools Threatfire!

Recommended Posts

p2u

Я это обычно не делаю, но в этот раз решил, что надо наказать ребят из PCTools.

Узнал в Группе Новостей Стива Гибсона следующее: После удаления PCTools Threatfire остаётся драйвер этой программы tfkbmon.sys, который продолжает контролировать клавиатуру. Естественно, при установке другого ПО это даёт серьёзные проблемы. Это как бы стандарт у многих программ - плохо удалиться. Но здесь ещё хуже: если вы отключите или удалите этот драйвер, то тогда вы остаётесь без функции клавиатуры вообще. На форуме PCTools решений нет, хотя проблема уже существует с 2007 г. Человек, который пишет нашёл решение где-то в Интернете, но к сожалению не даёт подробностей - надо поправить реестр, но на каком месте и как - не указано. Поэтому и мой совет: избегайте таких программ как чума.

Из Группы Новостей Стива Гибсона (не доступна в он-лайне):

This might be old news to many of you. But I thought I should make everyone aware of this nasty little issue I experienced.

After using PCTools Threatfire for a little while, it got too annoying for me to handle (constant, unnecessary warnings). So I decided to remove it from my system. The problem is that it doesn't completely remove itself. It actually leaves its keyboard hook in place (tfkbmon.sys). In ThreatFire, this module supposedly protects you from keyboard loggers.

So uninstalling ThreatFire leaves this remnant behind (and loading on startup). If you disable or remove the driver (e.g. through AutoRuns), you will lose all keyboard function.

After some searching on the internet, I found the only available solution, which is a manual registry search/edit. Sadly, I didn't get that solution through their own forums. They seem to have been aware of a serious problem with this keyboard hook since 2007 (mainly problems through failed updates), but are somehow unable to deal with it properly.

It's bad enough when regular software leaves remnants behind. But in my view, it is absolutely outrageous that this kind of thing would occur in a software package that claims to be protecting you.

So my advice to everyone listening is to AVOID THREATFIRE LIKE THE PLAGUE.

P.S.: Автор Geoff - далеко не чайник; он один из самых уважаемых знатоков в группе Гибсона.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Но здесь ещё хуже: если вы отключите или удалите этот драйвер, то тогда вы остаётесь без функции клавиатуры вообще.

P.S.: Автор Geoff - далеко не чайник; он один из самых уважаемых знатоков в группе Гибсона.

Я раза два ставил эту прогу, но с данной проблемой не сталкивался. После удаления ИБ ПО я всегда подчищаю хвосты ручками.

Дополнительные подробности по сабжу есть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Дополнительные подробности по сабжу есть?

Ещё нет - там (USA) спят.

Кстати - нашёл всё-таки сервер, который показывает эту группу ReadOnly:

GRC News Server Temporary Gateway (read only)

Это сервер участника Dutch. Там много интересного. Группа, в которой он пишет:

grc.security.software.

Тема называется: Avoid PCTools ThreatFire

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Скорее всего, драйвер становится как upper или lower (или даже оба варианта) фильтр на драйвер клавиатуры. Тогда надо, действительно, чистить в CurrentControlSet.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Автор темы Avoid PCTools ThreatFire сам признаётся в том, что его новость стара.

Проблема с драйвером tfkbmon.sys давно решена, ранее для корректного удаления от PCTools предлагалась спец. утилита.

Сейчас для его выгрузки из памяти и системы дополнительной утилиты не требуется.

Вопрос закрыт.

PS. Сегодня, как и несколько лет назад, я с осторожностью устанавливаю любой бесплатный продукт от PCTools.

Памятуя о том: Кто узнаёт, как шпионят другие - сам становится шпионом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      В каких случаях классический HIPS приносит реальную пользу ? Я не видел нигде в интернете внятного руководства по настройке классического HIPS в антивирусе, только в общих чертах рассказывают, как его настраивать. Такого руководства в принципе не может быть, то есть что и когда конкретно надо разрешать или запрещать ?
      Под классическим HIPS-ом я подразумеваю (на примере антивирусов) - компонент "Контроль Программ" в Kaspersky Internet Security, "Превентивная защита" в Dr Web, HIPS в Eset Nod, Comodo и в других антивирусах. Допустим, в HIPS запрещены потенциально опасные действия (которые могут влиять на безопасность всей операционной системы), такие как загрузка драйверов, низкоуровневый доступ к диску, низкоуровневый доступ к клавиатуре, внедрение кода в другие процессы, установка прав отладчика и т.п.
      Пользователь запускает программу, антивирусный комплекс угрозу не обнаруживает (файловый антивирус, поведенческий блокиратор, облако), HIPS в автоматическом режиме запрещает программе выполнять эти действия, и программа завершает свою работу, сообщая об ошибке, или ничего не сообщая, или работает некорректно (или пользователь сам запрещает эти действия, если включен интерактивный режим). Что делать пользователю ? Если он разрешит выполнять эти действия (или какое-то одно действие разрешит) при повторном запуске этой программы, и программы окажется вредоносной, то система будет заражена. Если пользователь запретит эти действия, то программа может завершить свою работу или работать с ошибками, хотя программа легитимная. То есть сообщение " Такая-то программа собирается загрузить такой-то драйвер" говорит только о том, что сейчас будет загружен драйвер. По этому сообщения нельзя вынести вердикт - вредоносная ли эта программа, или легитимная. В каких случаях это сообщение может принести реальную пользу ? То есть если программа (запущенная пользователем, или уже работающая) окажется вредоносной, пользователь понял бы это и вовремя нажал бы "запретить это действие". Или любое другое сообщение - "программа пытается получить низкоуровневый доступ к диску " и т.д.
    • Лукин Вадим
      Попробуйте бесплатную версию антивируса Avast https://biblsoft.ru/windows/security/antivirus/144-avast-free-antivirus . Отлично защищает от вирусов, блокирует рекламу и другие угрозы, которые могут нанести вред вашему ПК. Одна программа вмещает в себе много защитных средств, как по мне, достаточно удобно.
    • SQx
      Приветствую,

      По каким-то причинам uVS не видет(пропускает) WMI записи следующего вида: WMI:subscription\__TimerInstruction->fuckyoumm2_itimer: <==== ATTENTION WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer: <==== ATTENTION возможно ли добавить в новых версиях?

      Предположительно эти записи находятся в следующем файле: C:\Windows\system32\wbem\repository\INDEX.BTR P.S. C этим встретился в одной из тем по лечению.
       
    • Зотов Тимур
      стандартный виндовс защитник не подходит? 
    • ГришаСмернов
      Для начало Вам стоит определиться каким бюджетом вы располагаете. Если Вы думаете, что купите стиральную машинку за 10 тыс., то Вы глубоко заблуждаетесь. Покупка эта не из дешевых. Да и жалеть денег на машинку не стоит, если хотите, чтобы она прослужила Вам долго. Перед тем как идти в магазин, почитайте эту статью https://tehno-rating.ru/591-kak-vybrat-stiralnuyu-mashinu-avtomat.html . Мне она замечательно помогла, когда я мучился со своей покупкой. В итоге руководствуясь дельными советами из этой статьи, купил себе хорошую машинку и даже куда дешевле, чем думал.
×