Перейти к содержанию
p2u

Избегайте PCTools Threatfire!

Recommended Posts

p2u

Я это обычно не делаю, но в этот раз решил, что надо наказать ребят из PCTools.

Узнал в Группе Новостей Стива Гибсона следующее: После удаления PCTools Threatfire остаётся драйвер этой программы tfkbmon.sys, который продолжает контролировать клавиатуру. Естественно, при установке другого ПО это даёт серьёзные проблемы. Это как бы стандарт у многих программ - плохо удалиться. Но здесь ещё хуже: если вы отключите или удалите этот драйвер, то тогда вы остаётесь без функции клавиатуры вообще. На форуме PCTools решений нет, хотя проблема уже существует с 2007 г. Человек, который пишет нашёл решение где-то в Интернете, но к сожалению не даёт подробностей - надо поправить реестр, но на каком месте и как - не указано. Поэтому и мой совет: избегайте таких программ как чума.

Из Группы Новостей Стива Гибсона (не доступна в он-лайне):

This might be old news to many of you. But I thought I should make everyone aware of this nasty little issue I experienced.

After using PCTools Threatfire for a little while, it got too annoying for me to handle (constant, unnecessary warnings). So I decided to remove it from my system. The problem is that it doesn't completely remove itself. It actually leaves its keyboard hook in place (tfkbmon.sys). In ThreatFire, this module supposedly protects you from keyboard loggers.

So uninstalling ThreatFire leaves this remnant behind (and loading on startup). If you disable or remove the driver (e.g. through AutoRuns), you will lose all keyboard function.

After some searching on the internet, I found the only available solution, which is a manual registry search/edit. Sadly, I didn't get that solution through their own forums. They seem to have been aware of a serious problem with this keyboard hook since 2007 (mainly problems through failed updates), but are somehow unable to deal with it properly.

It's bad enough when regular software leaves remnants behind. But in my view, it is absolutely outrageous that this kind of thing would occur in a software package that claims to be protecting you.

So my advice to everyone listening is to AVOID THREATFIRE LIKE THE PLAGUE.

P.S.: Автор Geoff - далеко не чайник; он один из самых уважаемых знатоков в группе Гибсона.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Но здесь ещё хуже: если вы отключите или удалите этот драйвер, то тогда вы остаётесь без функции клавиатуры вообще.

P.S.: Автор Geoff - далеко не чайник; он один из самых уважаемых знатоков в группе Гибсона.

Я раза два ставил эту прогу, но с данной проблемой не сталкивался. После удаления ИБ ПО я всегда подчищаю хвосты ручками.

Дополнительные подробности по сабжу есть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Дополнительные подробности по сабжу есть?

Ещё нет - там (USA) спят.

Кстати - нашёл всё-таки сервер, который показывает эту группу ReadOnly:

GRC News Server Temporary Gateway (read only)

Это сервер участника Dutch. Там много интересного. Группа, в которой он пишет:

grc.security.software.

Тема называется: Avoid PCTools ThreatFire

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Скорее всего, драйвер становится как upper или lower (или даже оба варианта) фильтр на драйвер клавиатуры. Тогда надо, действительно, чистить в CurrentControlSet.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Автор темы Avoid PCTools ThreatFire сам признаётся в том, что его новость стара.

Проблема с драйвером tfkbmon.sys давно решена, ранее для корректного удаления от PCTools предлагалась спец. утилита.

Сейчас для его выгрузки из памяти и системы дополнительной утилиты не требуется.

Вопрос закрыт.

PS. Сегодня, как и несколько лет назад, я с осторожностью устанавливаю любой бесплатный продукт от PCTools.

Памятуя о том: Кто узнаёт, как шпионят другие - сам становится шпионом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×