Перейти к содержанию
p2u

Избегайте PCTools Threatfire!

Recommended Posts

p2u

Я это обычно не делаю, но в этот раз решил, что надо наказать ребят из PCTools.

Узнал в Группе Новостей Стива Гибсона следующее: После удаления PCTools Threatfire остаётся драйвер этой программы tfkbmon.sys, который продолжает контролировать клавиатуру. Естественно, при установке другого ПО это даёт серьёзные проблемы. Это как бы стандарт у многих программ - плохо удалиться. Но здесь ещё хуже: если вы отключите или удалите этот драйвер, то тогда вы остаётесь без функции клавиатуры вообще. На форуме PCTools решений нет, хотя проблема уже существует с 2007 г. Человек, который пишет нашёл решение где-то в Интернете, но к сожалению не даёт подробностей - надо поправить реестр, но на каком месте и как - не указано. Поэтому и мой совет: избегайте таких программ как чума.

Из Группы Новостей Стива Гибсона (не доступна в он-лайне):

This might be old news to many of you. But I thought I should make everyone aware of this nasty little issue I experienced.

After using PCTools Threatfire for a little while, it got too annoying for me to handle (constant, unnecessary warnings). So I decided to remove it from my system. The problem is that it doesn't completely remove itself. It actually leaves its keyboard hook in place (tfkbmon.sys). In ThreatFire, this module supposedly protects you from keyboard loggers.

So uninstalling ThreatFire leaves this remnant behind (and loading on startup). If you disable or remove the driver (e.g. through AutoRuns), you will lose all keyboard function.

After some searching on the internet, I found the only available solution, which is a manual registry search/edit. Sadly, I didn't get that solution through their own forums. They seem to have been aware of a serious problem with this keyboard hook since 2007 (mainly problems through failed updates), but are somehow unable to deal with it properly.

It's bad enough when regular software leaves remnants behind. But in my view, it is absolutely outrageous that this kind of thing would occur in a software package that claims to be protecting you.

So my advice to everyone listening is to AVOID THREATFIRE LIKE THE PLAGUE.

P.S.: Автор Geoff - далеко не чайник; он один из самых уважаемых знатоков в группе Гибсона.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Но здесь ещё хуже: если вы отключите или удалите этот драйвер, то тогда вы остаётесь без функции клавиатуры вообще.

P.S.: Автор Geoff - далеко не чайник; он один из самых уважаемых знатоков в группе Гибсона.

Я раза два ставил эту прогу, но с данной проблемой не сталкивался. После удаления ИБ ПО я всегда подчищаю хвосты ручками.

Дополнительные подробности по сабжу есть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Дополнительные подробности по сабжу есть?

Ещё нет - там (USA) спят.

Кстати - нашёл всё-таки сервер, который показывает эту группу ReadOnly:

GRC News Server Temporary Gateway (read only)

Это сервер участника Dutch. Там много интересного. Группа, в которой он пишет:

grc.security.software.

Тема называется: Avoid PCTools ThreatFire

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Скорее всего, драйвер становится как upper или lower (или даже оба варианта) фильтр на драйвер клавиатуры. Тогда надо, действительно, чистить в CurrentControlSet.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Автор темы Avoid PCTools ThreatFire сам признаётся в том, что его новость стара.

Проблема с драйвером tfkbmon.sys давно решена, ранее для корректного удаления от PCTools предлагалась спец. утилита.

Сейчас для его выгрузки из памяти и системы дополнительной утилиты не требуется.

Вопрос закрыт.

PS. Сегодня, как и несколько лет назад, я с осторожностью устанавливаю любой бесплатный продукт от PCTools.

Памятуя о том: Кто узнаёт, как шпионят другие - сам становится шпионом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.21.
    • Ego Dekker
    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
×