Российский разработчик выпустил бесплатный open-source инструмент для поиска и устранения последствий вредоносного ПО в Windows - Threatbit Simple Scanner. Не антивирус. Именно это делает утилиту интересной.
Что это такое и зачем оно нужно
Большинство пользователей, поймав malware, сталкиваются с одной и той же проблемой: антивирус тело угрозы удалил, а следы в реестре остались. Заблокированный диспетчер задач, сломанные ассоциации файлов, подменённая оболочка безопасного режима - всё это последствия, которые никуда не деваются сами по себе. Threatbit Simple Scanner как раз и охотится за такими «хвостами».
Утилита проверяет IFEO-ключи, AppInit_DLLs, Policies, SilentProcessExit, LSA Providers и ещё десяток потенциально опасных точек реестра. Всё автоматически. Панама - Англия футбол онлайн смотреть так же просто, как и запустить этот сканер: скачал, нажал, получил результат. Никаких ручных танцев с regedit.
Как создавался проект
Автор вдохновлялся инструментами вроде Simple Unlocker и MinerSearch, а также изучал поведение вредоносных программ на профильных каналах. Идея простая: собрать в одном окне всё то, за чем раньше приходилось лазить по разным утилитам вручную.
Первая сборка на PyInstaller весила 245 МБ - неприемлемо. После переработки под Nuitka, с поиском нужных DLL через Wayback Machine, размер сжался до 26 МБ. Почти в десять раз. Проект вышел под лицензией MIT и полностью открыт для изучения и доработки.
Что умеет сканер
Функционал для бесплатного инструмента неожиданно широкий:
- Поиск вредоносных записей в автозапуске: Shell, Userinit, BootExecute, KnownDLLs
- Обнаружение подмены оболочки безопасного режима (Safeboot)
- Проверка запретов на запуск программ (DisallowRun) и политик ограничений
- Восстановление UAC, Windows Defender, ассоциаций файлов, MBR, Winsock и DNS-кэша
- Три режима перезагрузки: стандартная, в WinPE и в UEFI
- Автоматическая проверка обновлений через GitHub API
Отдельная вкладка «Ручные инструменты» позволяет просмотреть службы, папки автозапуска StartUp, ключи Run/RunOnce и планировщик заданий - на случай, если пользователь хочет сам решить, что удалять, а что оставить.
Перспективы и ограничения
Планировщик заданий пока сыроват - разработчик сам признаёт, что этот модуль ещё допиливается. Восстановление системных шрифтов помечено как бета. В остальном инструмент производит впечатление рабочего продукта, а не сырого прототипа.
На фоне платных комбайнов вроде Anvir Task Manager подобный проект выглядит как разумная альтернатива для тех, кто хочет контроль без лишних трат. Исходники открыты, сообщество может развивать утилиту самостоятельно - и это, пожалуй, главный козырь Threatbit Simple Scanner.
