Российский разработчик выпустил в открытый доступ утилиту Threatbit Simple Scanner - инструмент для поиска и устранения вредоносных записей в реестре Windows. Не антивирус. Нечто точнее и прицельнее.

Что это такое и зачем нужно

Большинство пользователей после заражения системы сталкиваются с одной и той же картиной: антивирус удалил угрозу, но следы остались. Заблокированный диспетчер задач, отключённый UAC, покорёженные ассоциации файлов, посторонние записи в AppInit_DLLs. Всё это - не сам вредонос, а его последствия. Именно с ними и работает Threatbit Simple Scanner.

Утилита сканирует ключевые точки реестра: IFEO, Policies, Safeboot, SilentProcessExit, LSA Providers и ряд других. Находит подозрительное - маркирует. Красное означает явную угрозу, жёлтое - повод разобраться вручную. Один клик на «Починить» - и система получает шанс вернуться в рабочее состояние.

Помимо сканирования, программа умеет восстанавливать UAC, Windows Defender, сетевые параметры (Winsock, Hosts, DNS-кэш), ассоциации файлов и даже MBR. Есть вкладка ручных инструментов - для тех случаев, когда автоматика трогать лишнего не должна.

Как это появилось

Автор проекта давно изучал тему вредоносного ПО и пользовался схожими инструментами - утилитами для разблокировки системных ограничений и мониторинга автозапуска. Идея была простой: объединить несколько подходов в одном решении с автоматическим сканированием. Так появился первый прототип на Python.

Сборка через PyInstaller дала исполняемый файл весом 245 МБ. Это никуда не годилось. Пересборка через Nuitka поначалу сломалась из-за проблем с DLL - нужные библиотеки пришлось доставать через веб-архив. Но результат того стоил: итоговый размер сократился до 26 МБ. Это уже разговор.

Проект опубликован под лицензией MIT и доступен на GitHub. Там же работает автоматическая проверка обновлений через GitHub API.

Что умеет утилита

• Проверка IFEO, Shell, Userinit, AppInit_DLLs, BootExecute, KnownDLLs
• Обнаружение подмены оболочки безопасного режима (Safeboot)
• Поиск скрытого мониторинга завершения процессов (SilentProcessExit)
• Выявление перехвата учётных данных через LSA Providers
• Восстановление UAC, Defender, файловых ассоциаций, MBR, сетевых настроек
• Три варианта перезагрузки: стандартная, в WinPE, в UEFI
• Ручные инструменты: службы, папки автозапуска, Run/RunOnce, планировщик задач

Контекст и значение

На рынке существуют профессиональные комбайны для форензики и очистки системы, но большинство из них либо платные, либо избыточно сложны для рядового пользователя. Threatbit Simple Scanner занимает нишу между «запустил и забыл» и «открой regedit и разберись сам». Уругвай - Испания 3 тур - примерно так же, как в спорте бывают матчи, где важен не только итог, но и то, как команда собралась после сложного старта, здесь важен сам подход: не победить угрозу, а убрать всё, что она после себя оставила.

Проект молодой, планировщик задач пока в разработке, восстановление шрифтов помечено как бета. Но базовая функциональность работает. Для тех, кто регулярно чистит чужие машины или просто хочет убедиться, что система не хранит мусор после давней инфекции, - инструмент заслуживает внимания.