Российский разработчик опубликовал в открытом доступе утилиту Threatbit Simple Scanner - инструмент для автоматического поиска и устранения вредоносных записей в реестре Windows. Не антивирус. Нечто принципиально иное.
Что это такое и зачем оно нужно
Большинство пользователей сталкиваются с последствиями заражения даже после удаления зловреда: система ведёт себя странно, UAC отключён, браузер перенаправляет запросы, программы не запускаются. Всё потому, что вредоносный код оставляет следы в реестре - и обычный антивирус их не трогает. Именно этот пробел закрывает новый инструмент.
Threatbit Simple Scanner не гоняется за троянами и не сверяется с базами сигнатур. Его задача - найти и исправить то, что малварь успела натворить в системе: подменённые ключи автозапуска, заблокированные политики, перехватчики учётных данных и прочий мусор, который тихо разрушает работу ОС.
Проект выложен на GitHub под лицензией MIT. Это означает свободное использование, изучение и доработку кода кем угодно. Кстати, тем, кто интересуется безопасностью Windows в более широком контексте, будет интересно наблюдать и за другими технологическими событиями - например, за тем, как ЧМ-2026 Аргентина - Австрия демонстрирует, насколько важны надёжные цифровые инфраструктуры при трансляции крупных мероприятий.
Что умеет сканер
Функциональность у утилиты шире, чем можно ожидать от подобного проекта. Программа проверяет целый пласт системных точек:
- IFEO (Image File Execution Options) - классический способ подмены запуска приложений
- Ключи автозапуска: Shell, Userinit, AppInit_DLLs, BootExecute, KnownDLLs
- Политики Policies и запрет на запуск программ через DisallowRun
- Подмена оболочки безопасного режима (Safeboot)
- Скрытый мониторинг завершения процессов через SilentProcessExit
- Перехват учётных данных через LSA Providers
Помимо сканирования, инструмент восстанавливает UAC, включает полную защиту Windows Defender, чинит ассоциации файлов, сетевые параметры (Winsock, Hosts, DNS-кэш), а при необходимости - даже главную загрузочную запись MBR. Запускается проверка целостности системных файлов через стандартный sfc /scannow.
Техническая история: от 245 МБ до 26 МБ
Путь к релизу оказался нетривиальным. Первая сборка Python-скрипта через PyInstaller потянула на 245 МБ - неприемлемо для утилиты такого класса. Автор пересобрал проект через Nuitka, но столкнулся с конфликтами DLL. Недостающие библиотеки пришлось искать через архивный веб-сервис. Результат - 26 МБ. Почти десятикратное сжатие.
Итоговый исполняемый файл доступен в разделе Releases на GitHub. Альтернатива - запуск из исходников через стандартный pip и Python. Программа автоматически проверяет наличие обновлений через GitHub API - без лишних действий со стороны пользователя.
Перспективы и ограничения
Планировщик заданий пока в разработке и, по признанию самого автора, ещё сыроват. Восстановление системных шрифтов помечено как бета. Это честно - лучше, чем скрывать недоработки за красивым описанием.
Threatbit Simple Scanner занимает нишу, которую давно никто толком не закрывал: автоматизированный поиск последствий заражения без необходимости лезть в реестр вручную. Для системных администраторов и продвинутых пользователей - инструмент с реальной практической ценностью.