PUP.Optional, PUABundler, PUA:Win32 — что это за вирусы и как действовать?

Что такое PUP и PUAПри запуске некоторых программ и их установщиков, либо при сканировании системы встроенными и сторонними антивирусными средствами вы можете увидеть такие угрозы как PUP.Optional.Legacy, PUP.Optional.Bundleinstaller, PUABundler, PUA:Win32/Presenoker и другие, причем обнаруживаться они могут и в обычных программах из официальных источников.

В этой инструкции подробно о том, что представляют собой эти угрозы, что их объединяет, как поступать, если было обнаружено что-то из перечисленного и дополнительная информация, которая может быть полезна.

PUP и PUA — потенциально нежелательные программы

PUABundler в Microsoft Defender

Если ваш антивирус, Microsoft Defender или какое-либо средство удаления вредоносных программ сообщает об обнаружении угрозы, название которой начинается с PUP или PUA, речь идёт не о вирусе в прямом смысле слова, а о потенциально нежелательной программе (Potentially Unwanted Program или Potentially Unwanted App).

PUP.Optional.Legacy найден в AdwCleaner

Что это такое? Чаще всего речь идёт о программах, которые могут представлять следующие риски: показ рекламы или изменение настроек браузера, установка дополнительных программ в дополнение к основной устанавливаемой программе, удаленный доступ к системе (причем угроза может обнаруживаться для обычных средств работы с удаленным рабочим столом с официального сайта), средства обхода лицензий программ:

  • PUP.Optional.Bundleinstaller или PUABundler — программы, устанавливающие другие программы «в нагрузку». Иногда от этого можно отказаться, но не всегда.
  • PUP.Optional.Legacy — так обнаруживаются потенциально нежелательные программы, не отнесенные к определенной категории.
  • PUA:Win32/GameHack — средства для взлома игр, иногда приводящие к нежелательным последствиям: установка расширений, показ рекламы.
  • PUA:Win32/Presenoker — под это определение обычно попадают программы, которые часто используются (например, торрент-клиенты), но при этом могут досаждать рекламой, «захватывать» настройки браузера или менять сетевые настройки.

Это не полный список, а имена определений могут отличаться в зависимости от того, какой конкретно антивирус обнаружил угрозу, например, помимо PUA и PUP такие угрозы могут определяться как Riskware, Possible.Threat. Посмотреть, как угрозу определяют другие антивирусы можно на VirusTotal.com, загрузив на этот сервис файл, в котором она была обнаружена:

Разные варианты обнаружений для PUA и PUP

Учитывайте: что часто такие программы не представляют прямой опасности, а лишь потенциально могут навредить (особенно в неумелых или замышляющих недоброе руках) или «не нравятся» Windows или антивирусу по иным причинам (например, средства обхода лицензий, некоторые инструменты оптимизации системы).

Что делать с такими угрозами, как удалить или разрешить на компьютере

В зависимости от того, при каких обстоятельствах вы столкнулись со срабатыванием антивируса или обнаружением угрозы PUP.Optional, PUA или аналогичной, действия могут отличаться.

В ситуации, когда блокируется запуск программы или она автоматически удаляется:

  • Если обнаружение произошло при скачивании установщика программы с неофициального сайта, при этом программа сама по себе не должна быть потенциально нежелательной — лучше подыскать другой источник, а в идеале загрузить её с официального сайта, использовать winget или, если возможно — Microsoft Store.
  • Если речь идёт об установщике программы, который попутно устанавливает дополнительное ненужное ПО — внимательно читать текст на всех этапах установки, снимать ненужные отметки (иногда — устанавливать отметки об отказе). Пример PUP Bundleinstaller
  • В случае, если вы уверены в надежности программы и в том, что программа вам нужна, но она блокируется антивирусом Microsoft Defender, вы можете либо разрешить её на компьютере (подробнее о том, где это сделать — Карантин Microsoft Defender, где находится и как восстановить файлы), или добавить программу в исключения.
  • Если блокировка программы выполняется сторонним антивирусом, но вам требуется запустить её, используйте соответствующие настройки антивируса для разрешения запуска программы или добавления программы в исключения.
  • На эту тему также может пригодиться: Что делать, если Windows 11/10 сама удаляет файлы.

Примечание: в Microsoft Defender доступна настройка обнаружения и блокирования PUA, самый простой способ отключить её — команда PowerShell (от имени администратора): Set-MpPreference -PUAProtection Disabled

Когда угрозы обнаруживаются при сканировании компьютера какими-либо средствами удаления вредоносных программ, просмотрите в сведениях об обнаружении, где именно были найдены PUP или PUA и:

  • Если вы знаете, какие именно программы были распознаны как нежелательные, при этом уверены в них (а лучше — понимаете, почему они были определены как нежелательные) и хотите продолжать использовать — просто исключите угрозу из списка очистки.
  • Если вам неизвестно, к каким программам относятся обнаруженные угрозы, создайте точку восстановления системы (на случай, если что-то пойдет не так), а затем удалите обнаруженные нежелательные программы.

Если после удаления «вирусов» PUP и PUA они через некоторое время появляются вновь, это может говорить о том, что на компьютере остаётся что-то (иногда обычная, не нежелательная, программа, иногда — задание в планировщике заданий или запись автозагрузки в реестре), что устанавливает их. Рекомендуемые действия в таком случае:

Надеюсь, материал помог разобраться с PUP/PUA. В ситуации, если у вас остались вопросы — опишите ситуацию в комментариях, я постараюсь подсказать решение.

Комментарии (5) к PUP.Optional, PUABundler, PUA:Win32 — что это за вирусы и как действовать?

  • Виктор

    Я в спаме что ли? Два моих сообщения на тему вирусов канули=удалены видимо. Дима реагирует только на те вопросы, на которые знает ответ? Или этот ответ есть у сети? Если первое — будь добр дай знать, мол такая тема не обсуждается здесь, здесь только по анимэ обсуждения.. И я забуду про этот когда-то актуальный для меня ресурс.

    Ответить

    • Dmitry

      Виктор, здравствуйте!
      Ваш предыдущий комментарий от 21.09 есть вот в этой статье https://remontka.pro/virus-page/ — никуда не девался.

      Каких-то иных комментариев от вас кроме указанного и вот этого (на который я отвечаю) я не видел. В папке спам тоже ничего. Единственное — вчера я спам вручную не смотрел, просто жмякнул «очистить», так что если вчера комментарий был и как-то туда попал, мог и улететь.

      Ещё один момент: когда вы постите комментарий, он не появляется до моего просмотра/ответа (а у вас может типа «исчезать», если чистятся куки, иначе — будет показан в статусе «ожидает проверки»)

      Что касается обсуждений: тут каких-то запретов нет, критики меня (мнения моего) в комментариях хватает и когда это не просто мат и переход на личности, а аргументы — всё публикуется исправно. То есть тем каких-то запретных нет (кроме оскорблений, спама и политики переходящей в оскорбления)

      Ответить

  • Виктор

    Я только пользователь, поэтому прошу совета. Появились у меня недавно такие программы, откуда не знаю. Было 7. 6 Microsoft Defender убрал, а вот PUA:Win32/Spigot не может убрать. Применяю и Dr.Web CureIt и Kerish PC Doctor, не удаляется. Появляется снова.

    Ответить

  • Viktor

    Здравствуйте, Дмитрий!
    У меня
    PUABundler:Win32/FusionCore
    сидит (уже три недели) в
    C:/SRecucle. Bin/S-1-5-21-162 …-150…-571…-1000/SRKGTTYO exe.
    Как этот PUAB … оттуда убрать?

    Ответить

    • Dmitry

      Здравствуйте.
      Очистить корзину по идее… судя по пути, он там находится. Не удается?

      Ответить

Оставить комментарий

Интересное
Список инструкций Windows 11 Windows 10 Подписаться