SavePearlHarbor

Антивирус не помог? Threatbit Simple Scanner находит то, что он пропускает

от автора

admin

Всем привет!

Я всегда думал создать такой сканер, который будет автоматически искать записи реестра, которые мешают работе системы и другие последствия. Я решил попробовать сделать опен‑сурс проект. Вот так и получился Threatbit Simple Scanner.

Важно: это не антивирусная программа в привычном понимании. Она не имеет ни базу данных антивируса и не ищет, например трояны. Она ищет только вредоносные записи и действия, которые сделала вредоносная программа (а точнее последствия Malware)

Обложка

Обложка

История создания

Я знал про существование Simple Unlocker, Anvir Task Manager, MinerSearch и другие. Также интересовался вредоносными программами на канале НЕДОХАКЕРЫ Lite. И я подумал сделать такую программу, что она будет как Simple Unlocker, но при этом помимо автоматического поиска ограничений будет ещё и поиск других угроз. Я начал тестировать программу и она находила угрозы. Поэтому я её выложил её как опен-сорс под лицензией MIT.

Нужен был релиз, поэтому я собрал свой python-скрипт в Pyinstaller, НО размер получился очень большим (245 МБ). Мне это не нравилось, поэтому я пошёл его пересобирать в Nuitka. Но были баги с DLL.
Всё же я сказал нужные DLL через Wayback Machine и Nuitka заработал. Так размер файла стал 26 МБ и это был успех!

Зачем это нужно?

Всё дело в том, что вам не придётся заходить в реестр для очистки AppInit_DLLs, IFEO-ключей, Policies (ограничения) и так далее. Вам всего-лишь нужно будет просканировать компьютер и исправить угрозы. Затем нужно будет сделать перезагрузку.

Именно поэтому я и создал Threatbit Simple Scanner

Вид самой программы

Вид самой программы

Что умеет Threatbit Simple Scanner?

Утилита имеет хороший функционал.

Данная программа умеет проверять IFEO (Image File Execution Options), автозапуск (Shell, Userinit, AppInit_DLLs, BootExecute, KnownDLLs) ограничения Policies, подмена Safeboot (Подмена оболочки безопасного режима), запрет на запуск программ (DisallowRun), разрешение на автозапуск со всех устройств (NoDriveTypeAutoRun), скрытый мониторинг завершения процессов (SilentProcessExit), Перехват учётных данных через Authentication/Notification Packages (LSA Providers) и многое другое.

Также существует вкладка и «Ручные инструменты». Она создана для того, чтобы сканер не удалил те записи, которые важны для пользователя. Вы можете посмотреть какие у вас запущены службы, автозапуск через папки StartUp Folders, автозагрузка Run и RunOnce и планировщик заданий.

Ручные инструменты

Ручные инструменты

Также программа поддерживает три варианта перезагрузки: классическая (обычная перезагрузка), в WinPE (идёт загрузка в встроенную среду восстановления Windows) и в UEFI (если у вас не Legacy BIOS).

Планировщик заданий находится в разработке и на данный момент не очень удобен.

Но также она умеет автоматически проверять обновления через GitHub API.

Подробно можете ознакомиться в репозитории

Что программа восстанавливает?

Она также умеет восстанавливать UAC (Контроль учётных записей), Windows Defender (умеет включать полную защиту), ассоциации файлов (.exe, .txt, .bat, .png и др.), MBR (главная загрузочная запись), сетевые параметры (Winsock, Hosts, DNS‑кэш), системные шрифты (но это BETA), целостность системных файлов (sfc /scannow).

Вам нужно просто выбрать нужные опции.

Установка самой программы

Способ 1: Готовый.exe

Скачайте ThreatbitScanner.exe из Releases и запустите.

Способ 2: Из исходников

git clone https://github.com/2M12/ThreatbitSimpleScanner.gitcd ThreatbitSimpleScannerpip install -r requirements.txtpython main.py

Инструкция по использованию

  1. Зайдите в программу ThreatbitScanner.exe или если вы скачали python‑файл, то main.py.

  2. Далее выберите нужные опции, но рекомендую сначала поставить «Удалять все вредоносные (красные) элементы»

  3. Затем ждите сканирование и у вас должно появиться такое окно:

После этого нажмите «Починить Threats». Далее:

  1. Выберите «Удалять все подозрительные (жёлтые) элементы»

  2. По завершению сканирования выберите «Починить Suspicious»

  3. Выберите тип перезагрузки или если хотите, то можете начать check disk (chkdsk)

Заключение

Threatbit Simple Scanner помогает удалять вредоносные записи и изменения, а также восстановить UAC, Windows Defender и др.
Я надеюсь данный инструмент станет для вас удобным и полезным threat-клинером.

Репозиторий на GitHub
Сайт с проектом

Я надеюсь, вы оцените мой проект на гитхабе. Проект будет также активно развиваться!

Статья про DeNuitkanizator

ссылка на оригинал статьи https://habr.com/ru/articles/1049944/