Российский разработчик выпустил бесплатную утилиту Threatbit Simple Scanner - инструмент для обнаружения и устранения вредоносных следов в реестре Windows. Не антивирус. Именно очиститель последствий: тех самых правок, которые малварь оставляет после себя и которые продолжают мешать работе системы даже после удаления угрозы.

Не ещё один антивирус - а нечто другое

Идея возникла из наблюдения, которое многие упускают. Вредоносная программа может быть давно удалена, а система всё равно ведёт себя странно. Причина - изменённые ключи реестра, подменённые политики, заблокированный UAC. Традиционный антивирус на такие «хвосты» нередко не реагирует: угрозы нет, а последствия остались.

Именно этот пробел и закрывает утилита. Автор изучил инструменты вроде Simple Unlocker и MinerSearch, вдохновился тематикой информационной безопасности и собрал собственный сканер - теперь открытый под лицензией MIT. Исходники доступны на GitHub.

Что под капотом

Функциональность у инструмента неожиданно широкая для сольного проекта. Сканер проверяет:

• IFEO (Image File Execution Options) - классическая точка перехвата запуска процессов
• автозапуск: Shell, Userinit, AppInit_DLLs, BootExecute, KnownDLLs
• ограничения Policies и запрет на запуск программ через DisallowRun
• подмену оболочки безопасного режима (Safeboot)
• скрытый мониторинг завершения процессов (SilentProcessExit)
• перехват учётных данных через LSA Providers

Отдельно реализованы инструменты восстановления: UAC, Windows Defender, ассоциации файлов, сетевые параметры (Winsock, Hosts, DNS-кэш), MBR и даже системные шрифты - последнее пока в статусе беты. Поддерживается запуск sfc /scannow прямо из интерфейса.

Есть и вкладка ручного контроля - для тех случаев, когда автоматика может зацепить нужные записи. Там можно вручную просмотреть службы, папки автозагрузки StartUp, ключи Run/RunOnce и планировщик заданий.

История сборки: от 245 МБ до 26 МБ

Техническая часть оказалась нетривиальной. Первая сборка через PyInstaller выдала исполняемый файл весом 245 МБ - неприемлемо для утилиты такого класса. Переход на Nuitka уткнулся в проблемы с DLL. Нужные библиотеки в итоге нашлись через Wayback Machine. Результат - 26 МБ. Более чем в девять раз компактнее.

Обновления утилита проверяет автоматически через GitHub API. Три варианта перезагрузки - стандартная, в среду восстановления WinPE и в UEFI - покрывают большинство конфигураций железа. Это важно: часть восстановительных операций требует перезапуска системы для вступления в силу.

Почему это важно для обычного пользователя

Ручная чистка реестра после заражения - задача не для новичка. Ошибка в одном ключе может сломать систему серьёзнее, чем сама малварь. Threatbit Simple Scanner предлагает автоматизированный подход: запустил, получил список угроз, нажал «Починить». Для тех, кто не хочет копаться в regedit вручную, это реальная альтернатива.

Кстати, если вы следите за миром технологий и цифровой безопасности, то знаете: в последние годы тема послеинфекционных артефактов стала куда острее. Количество атак на домашних пользователей растёт, а стандартные защитные решения по-прежнему слабо работают с последствиями. Проект молодой, планировщик заданий ещё дорабатывается, но уже сейчас покрывает большинство сценариев, с которыми сталкиваются при чистке заражённых машин. Посмотреть на смотреть Новая Зеландия - Бельгия на RUTUBE Спорт можно отдельно, но вернёмся к делу: проект опенсорсный, а значит - открыт для аудита и доработки сообществом.

Threatbit Simple Scanner доступен в двух вариантах: готовый exe из раздела Releases на GitHub и сборка из исходников через pip. Второй вариант - для тех, кто не доверяет скомпилированным бинарникам и хочет видеть каждую строку кода.