Российский разработчик опубликовал в открытом доступе утилиту Threatbit Simple Scanner - инструмент для автоматического поиска и устранения вредоносных следов в системном реестре Windows. Не антивирус. Что-то более точечное и, пожалуй, более нужное в конкретных ситуациях.
Что это и зачем
Большинство пользователей после столкновения с малварью идут по привычному пути: запускают антивирус, получают «чисто» - и успокаиваются. Проблема в том, что следы вредоносной активности в реестре остаются даже после удаления самого зловреда. IFEO-ключи, подменённые записи AppInit_DLLs, политики ограничений Policies, перехват учётных данных через LSA Providers - всё это продолжает работать в фоне, портя систему уже без участия оригинального вируса.
Именно эту нишу и закрывает новый сканер. Программа не ищет троянов по сигнатурам - она охотится за последствиями: за тем, что малварь успела вписать в систему до своего удаления. Ручная правка реестра для большинства - занятие нервное и рискованное. Threatbit берёт эту работу на себя.
Как создавался проект
Автор признаётся: идея вызревала долго. Он изучал похожие инструменты - Simple Unlocker, Anvir Task Manager, MinerSearch - и понял, что хочет собрать нечто более комплексное. Первый сборочный опыт оказался болезненным: Python-скрипт, упакованный через PyInstaller, весил 245 МБ. Неприемлемо.
Пересборка через Nuitka поначалу давала ошибки из-за отсутствия нужных DLL-библиотек. Разработчик нашёл их через веб-архив - и дело сдвинулось. Итоговый размер исполняемого файла упал до 26 МБ. Для утилиты такого уровня - вполне достойный результат.
Что умеет сканер
Функциональность у программы шире, чем можно ожидать от сольного опен-сорс проекта. Среди ключевых возможностей:
- Проверка IFEO, автозапуска (Shell, Userinit, AppInit_DLLs, BootExecute, KnownDLLs)
- Обнаружение подмены оболочки безопасного режима (Safeboot)
- Выявление скрытого мониторинга завершения процессов (SilentProcessExit)
- Контроль LSA Providers - точек перехвата учётных данных
- Восстановление UAC, Windows Defender, файловых ассоциаций, MBR, сетевых параметров
- Автоматическая проверка обновлений через GitHub API
Отдельно предусмотрена вкладка «Ручные инструменты» - для тех, кто хочет контролировать процесс и не допустить удаления нужных записей. Там можно вручную просмотреть службы, папки автозапуска, задачи планировщика. Последний, впрочем, пока находится в доработке - сам автор признаёт его сырость. Поддерживается три варианта перезагрузки: стандартная, в среду восстановления WinPE и в прошивку UEFI.
Кстати, пока мы говорим о цифровой безопасности и слежении за системными процессами - в мире происходят и другие захватывающие события: болельщики уже следят за ЧМ-2026 Англия - Гана - матчем, который обещает подарить не меньше напряжения, чем охота за скрытыми угрозами в реестре.
Перспективы и доступность
Проект опубликован под лицензией MIT - значит, открыт для изучения, форков и доработки сообществом. Скачать готовый исполняемый файл можно из раздела Releases на GitHub. Для тех, кто предпочитает работать с исходниками, доступна сборка через pip и запуск main.py напрямую.
Threatbit Simple Scanner - не замена антивирусу. Но как инструмент постфактум-очистки, способный автоматизировать то, что раньше требовало часов в редакторе реестра, он заслуживает места в арсенале любого технически грамотного пользователя Windows.
