Российский разработчик опубликовал в открытом доступе утилиту Threatbit Simple Scanner - инструмент, который автоматически находит вредоносные следы в реестре Windows и устраняет последствия работы малвари. Без антивирусных баз, без лишней воды - только конкретная чистка того, что вредоносные программы оставляют после себя.
Не антивирус, но опаснее многих защитных решений для вредоносных записей
Важно понимать: Threatbit Simple Scanner не охотится за троянами в реальном времени и не имеет сигнатурных баз. Его задача принципиально иная. Программа ищет последствия заражения - скрытые ключи реестра, подменённые параметры запуска, заблокированные политики и другие следы, которые малварь оставляет в системе даже после своего удаления. Панама - Англия эфир
Среди того, что сканер умеет выявлять: IFEO-ключи (Image File Execution Options), подозрительные записи в AppInit_DLLs, BootExecute, KnownDLLs, подмена оболочки безопасного режима Safeboot, скрытый мониторинг завершения процессов через SilentProcessExit, перехват учётных данных через LSA Providers. Это именно тот арсенал техник, которым пользуются продвинутые вредоносы для закрепления в системе.
История проекта: от Python-скрипта до компактного exe
Автор признаётся, что вдохновлялся существующими утилитами - в частности, Simple Unlocker и MinerSearch, - однако хотел собрать более широкий функционал под одной крышей. Так появился собственный Python-скрипт. Первая сборка через PyInstaller весила неприлично много - 245 МБ. Это не устроило разработчика.
Пересборка через Nuitka поначалу давала баги с DLL-зависимостями. Нужные библиотеки удалось найти через архив Wayback Machine. Итог: финальный исполняемый файл весит 26 МБ - почти в десять раз меньше первоначального варианта. Проект выложен под лицензией MIT и полностью открыт для изучения и доработки сообществом.
Что программа лечит и что восстанавливает
Помимо сканирования, утилита умеет восстанавливать целый ряд системных компонентов, которые малварь традиционно выводит из строя:
- UAC - контроль учётных записей пользователей
- Windows Defender с возможностью включения полной защиты
- Ассоциации файлов (.exe, .bat, .txt, .png и другие)
- MBR - главная загрузочная запись
- Сетевые параметры: Winsock, Hosts, DNS-кэш
- Целостность системных файлов через встроенный sfc /scannow
Отдельно реализован раздел ручных инструментов - для тех случаев, когда автоматика может затронуть нужные пользователю записи. Там можно вручную просмотреть службы, папки автозапуска StartUp, ключи Run и RunOnce, а также планировщик заданий. Последний, по словам автора, пока ещё дорабатывается. Кроме того, поддерживается автоматическая проверка обновлений через GitHub API и три варианта перезагрузки: обычная, в среду восстановления WinPE или напрямую в UEFI. Панама - Англия эфир - для тех, кто следит не только за безопасностью системы, но и за спортивными событиями в прямом эфире.
Как попробовать
Установка не требует особых знаний. Готовый исполняемый файл ThreatbitScanner.exe доступен в разделе Releases репозитория на GitHub. Для тех, кто предпочитает работать с исходниками, достаточно клонировать репозиторий, установить зависимости через pip и запустить main.py.
Алгоритм работы прост: сначала сканирование с удалением красных - явно вредоносных - элементов, затем повторный прогон по жёлтым - подозрительным. После этого перезагрузка. Весь цикл занимает несколько минут и не требует ручного погружения в редактор реестра. Именно этого и не хватало многим пользователям, которые сталкивались с последствиями заражения, но не знали, где именно копать.
