Избегайте PCTools Threatfire! - Свободное общение - Форумы Anti-Malware.ru Перейти к содержанию
p2u

Избегайте PCTools Threatfire!

Автор p2u, в Свободное общение

Recommended Posts

p2u    824

p2u
Опубликовано

Я это обычно не делаю, но в этот раз решил, что надо наказать ребят из PCTools.

Узнал в Группе Новостей Стива Гибсона следующее: После удаления PCTools Threatfire остаётся драйвер этой программы tfkbmon.sys, который продолжает контролировать клавиатуру. Естественно, при установке другого ПО это даёт серьёзные проблемы. Это как бы стандарт у многих программ - плохо удалиться. Но здесь ещё хуже: если вы отключите или удалите этот драйвер, то тогда вы остаётесь без функции клавиатуры вообще. На форуме PCTools решений нет, хотя проблема уже существует с 2007 г. Человек, который пишет нашёл решение где-то в Интернете, но к сожалению не даёт подробностей - надо поправить реестр, но на каком месте и как - не указано. Поэтому и мой совет: избегайте таких программ как чума.

Из Группы Новостей Стива Гибсона (не доступна в он-лайне):

This might be old news to many of you. But I thought I should make everyone aware of this nasty little issue I experienced.

After using PCTools Threatfire for a little while, it got too annoying for me to handle (constant, unnecessary warnings). So I decided to remove it from my system. The problem is that it doesn't completely remove itself. It actually leaves its keyboard hook in place (tfkbmon.sys). In ThreatFire, this module supposedly protects you from keyboard loggers.

So uninstalling ThreatFire leaves this remnant behind (and loading on startup). If you disable or remove the driver (e.g. through AutoRuns), you will lose all keyboard function.

After some searching on the internet, I found the only available solution, which is a manual registry search/edit. Sadly, I didn't get that solution through their own forums. They seem to have been aware of a serious problem with this keyboard hook since 2007 (mainly problems through failed updates), but are somehow unable to deal with it properly.

It's bad enough when regular software leaves remnants behind. But in my view, it is absolutely outrageous that this kind of thing would occur in a software package that claims to be protecting you.

So my advice to everyone listening is to AVOID THREATFIRE LIKE THE PLAGUE.

P.S.: Автор Geoff - далеко не чайник; он один из самых уважаемых знатоков в группе Гибсона.

Paul

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

dr_dizel    385

dr_dizel
Опубликовано
Но здесь ещё хуже: если вы отключите или удалите этот драйвер, то тогда вы остаётесь без функции клавиатуры вообще.

P.S.: Автор Geoff - далеко не чайник; он один из самых уважаемых знатоков в группе Гибсона.

Я раза два ставил эту прогу, но с данной проблемой не сталкивался. После удаления ИБ ПО я всегда подчищаю хвосты ручками.

Дополнительные подробности по сабжу есть?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

p2u    824

p2u
Опубликовано
Дополнительные подробности по сабжу есть?

Ещё нет - там (USA) спят.

Кстати - нашёл всё-таки сервер, который показывает эту группу ReadOnly:

GRC News Server Temporary Gateway (read only)

Это сервер участника Dutch. Там много интересного. Группа, в которой он пишет:

grc.security.software.

Тема называется: Avoid PCTools ThreatFire

Paul

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Илья Рабинович    521

Илья Рабинович
Опубликовано

Скорее всего, драйвер становится как upper или lower (или даже оба варианта) фильтр на драйвер клавиатуры. Тогда надо, действительно, чистить в CurrentControlSet.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Андрей-001    1099

Андрей-001
Опубликовано

Автор темы Avoid PCTools ThreatFire сам признаётся в том, что его новость стара.

Проблема с драйвером tfkbmon.sys давно решена, ранее для корректного удаления от PCTools предлагалась спец. утилита.

Сейчас для его выгрузки из памяти и системы дополнительной утилиты не требуется.

Вопрос закрыт.

PS. Сегодня, как и несколько лет назад, я с осторожностью устанавливаю любой бесплатный продукт от PCTools.

Памятуя о том: Кто узнаёт, как шпионят другие - сам становится шпионом.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Свободное общение

  • Сообщения

    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      Если версия системы идентичная то скорее всего подойдет, но это не точно, потому что лично я всегда пользовался бэкапом реестра, сперва ERUNT-ом, а когда он стал неактуален сделал свой ABR.
    • santy
      Новые функции в Universal Virus Sniffer (uVS)

      От santy · Опубликовано

      Вообще, в сети мало пишут про то, как восстановить работу безопасного режима, в основном после поискового запроса выводят статьи, как войти в безопасный  режим. (Видно хромает еще ИИ по этому вопросу). По данному, частному случаю как будто все уже перепробовали: точка восстановления есть но с заражением системы, со слов пользователя. Хотя по факту здесь и не нужно восстанавливать систему, достаточно только найти в этой точке файл SYSTEM, откопировать его в другое место и извлечь из него ключ SafeBoot. Возможно, что он и делал восстановление системы из точки восст., но Safe mode не заработал. Других точек восстановления нет, бэкапов реестра нет, так как не работал ранее с uVS, да, и мы вообщем редко практикуем в сложных случаях создавать бэкап реестра. Те функции восстановления ключа, что заложены в uVS, опираются на бэкап реестра. (Которого не оказалось в системе). Твик Зайцева так же не сработал, возможно основан на методе их текста, который RP55 принес сюда. Остается попытаться перенести ключ с чистой аналогичной системы. Возможно ли безболезненно взять ключ Safeboot из другой аналогичной чистой системы? Какие могут возникнуть проблемы? драйвера оборудования могут оказаться различными?  
    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      "CurrentControlSet" это виртуальный ключ, он указывает на последний рабочий CurrentControlSetXXX, потому копировать там обычно нечего потому что есть лишь CurrentControlSet001, который и есть CurrentControlSet, другое дело когда есть 001 и 002, один из них может быть живым, а может и не быть.
      Но на самом деле не нужно маяться фигней, нужно пользоваться бэкапом и восстановлением реестра, тем более что в uVS есть твик для включения системного бэкапа реестра, так же копии реестра есть в теневых копиях и точках восстановления, где гарантировано можно найти рабочую ветку реестра и восстановить ее либо руками либо через uVS->Реестр->Восстановить из копии ключ SafeBoot
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      " Вот еще в помощь рекомендации от Зайцева Олега:   Цитата Кроме того, есть еще один метод восстановления испорченных ключей. Как известно, в самом реестре есть копии ключа SafeBoot. Они находятся в HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot и HKLM\SYSTEM\CurrentControlSet002\Control\SafeBoot. Следовательно, можно попробовать следующую операцию:
      1. Экспортировать HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot
      2. В полученном REG файле заменить "CurrentControlSet001" на "CurrentControlSet" (REG файл текстовый, поэтому заменить несложно)
      3. Импортировать модифицированный файл
      Данная операция может быть успешной сразу после запуска повреждающей ключ реестра вредоносной программы, до перезагрузки. Нарушена загрузка в защищенном режиме (SafeBoot) Изменено 6 часов назад пользователем safety " https://forum.kasperskyclub.ru/topic/466078-privetstvuju-slovil-majner-po-nazvaniem-toolbtcmine2782/page/6/#comments А, что если это будет делать uVS ? т.е. Копировать ключ > модифицировать > производить перезапись.
    • Ego Dekker
      Актуальные версии антивируса 18-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 18.1.10.
×