PUP.Optional, PUABundler, PUA:Win32 — что это за вирусы и как действовать?
При запуске некоторых программ и их установщиков, либо при сканировании системы встроенными и сторонними антивирусными средствами вы можете увидеть такие угрозы как PUP.Optional.Legacy, PUP.Optional.Bundleinstaller, PUABundler, PUA:Win32/Presenoker и другие, причем обнаруживаться они могут и в обычных программах из официальных источников.
В этой инструкции подробно о том, что представляют собой эти угрозы, что их объединяет, как поступать, если было обнаружено что-то из перечисленного и дополнительная информация, которая может быть полезна.
PUP и PUA — потенциально нежелательные программы
Если ваш антивирус, Microsoft Defender или какое-либо средство удаления вредоносных программ сообщает об обнаружении угрозы, название которой начинается с PUP или PUA, речь идёт не о вирусе в прямом смысле слова, а о потенциально нежелательной программе (Potentially Unwanted Program или Potentially Unwanted App).
Что это такое? Чаще всего речь идёт о программах, которые могут представлять следующие риски: показ рекламы или изменение настроек браузера, установка дополнительных программ в дополнение к основной устанавливаемой программе, удаленный доступ к системе (причем угроза может обнаруживаться для обычных средств работы с удаленным рабочим столом с официального сайта), средства обхода лицензий программ:
- PUP.Optional.Bundleinstaller или PUABundler — программы, устанавливающие другие программы «в нагрузку». Иногда от этого можно отказаться, но не всегда.
- PUP.Optional.Legacy — так обнаруживаются потенциально нежелательные программы, не отнесенные к определенной категории.
- PUA:Win32/GameHack — средства для взлома игр, иногда приводящие к нежелательным последствиям: установка расширений, показ рекламы.
- PUA:Win32/Presenoker — под это определение обычно попадают программы, которые часто используются (например, торрент-клиенты), но при этом могут досаждать рекламой, «захватывать» настройки браузера или менять сетевые настройки.
Это не полный список, а имена определений могут отличаться в зависимости от того, какой конкретно антивирус обнаружил угрозу, например, помимо PUA и PUP такие угрозы могут определяться как Riskware, Possible.Threat. Посмотреть, как угрозу определяют другие антивирусы можно на VirusTotal.com, загрузив на этот сервис файл, в котором она была обнаружена:
Учитывайте: что часто такие программы не представляют прямой опасности, а лишь потенциально могут навредить (особенно в неумелых или замышляющих недоброе руках) или «не нравятся» Windows или антивирусу по иным причинам (например, средства обхода лицензий, некоторые инструменты оптимизации системы).
Что делать с такими угрозами, как удалить или разрешить на компьютере
В зависимости от того, при каких обстоятельствах вы столкнулись со срабатыванием антивируса или обнаружением угрозы PUP.Optional, PUA или аналогичной, действия могут отличаться.
В ситуации, когда блокируется запуск программы или она автоматически удаляется:
- Если обнаружение произошло при скачивании установщика программы с неофициального сайта, при этом программа сама по себе не должна быть потенциально нежелательной — лучше подыскать другой источник, а в идеале загрузить её с официального сайта, использовать winget или, если возможно — Microsoft Store.
- Если речь идёт об установщике программы, который попутно устанавливает дополнительное ненужное ПО — внимательно читать текст на всех этапах установки, снимать ненужные отметки (иногда — устанавливать отметки об отказе).
- В случае, если вы уверены в надежности программы и в том, что программа вам нужна, но она блокируется антивирусом Microsoft Defender, вы можете либо разрешить её на компьютере (подробнее о том, где это сделать — Карантин Microsoft Defender, где находится и как восстановить файлы), или добавить программу в исключения.
- Если блокировка программы выполняется сторонним антивирусом, но вам требуется запустить её, используйте соответствующие настройки антивируса для разрешения запуска программы или добавления программы в исключения.
- На эту тему также может пригодиться: Что делать, если Windows 11/10 сама удаляет файлы.
Примечание: в Microsoft Defender доступна настройка обнаружения и блокирования PUA, самый простой способ отключить её — команда PowerShell (от имени администратора): Set-MpPreference -PUAProtection Disabled
Когда угрозы обнаруживаются при сканировании компьютера какими-либо средствами удаления вредоносных программ, просмотрите в сведениях об обнаружении, где именно были найдены PUP или PUA и:
- Если вы знаете, какие именно программы были распознаны как нежелательные, при этом уверены в них (а лучше — понимаете, почему они были определены как нежелательные) и хотите продолжать использовать — просто исключите угрозу из списка очистки.
- Если вам неизвестно, к каким программам относятся обнаруженные угрозы, создайте точку восстановления системы (на случай, если что-то пойдет не так), а затем удалите обнаруженные нежелательные программы.
Если после удаления «вирусов» PUP и PUA они через некоторое время появляются вновь, это может говорить о том, что на компьютере остаётся что-то (иногда обычная, не нежелательная, программа, иногда — задание в планировщике заданий или запись автозагрузки в реестре), что устанавливает их. Рекомендуемые действия в таком случае:
- Попробовать использовать несколько утилит для удаления вирусов и вредоносных программ — AdwCleaner (или другие средства удаления вредоносных программ), KVRT (Kaspersky Virus Removal Tool), Dr.Web CureIt!
- Внимательно изучить список установленных на компьютере программ и удалить ненужные или подозрительные, посмотреть список программ в автозагрузке и удалить из него ненужное, проверить список заданий в планировщике заданий.
Надеюсь, материал помог разобраться с PUP/PUA. В ситуации, если у вас остались вопросы — опишите ситуацию в комментариях, я постараюсь подсказать решение.
Виктор
Я в спаме что ли? Два моих сообщения на тему вирусов канули=удалены видимо. Дима реагирует только на те вопросы, на которые знает ответ? Или этот ответ есть у сети? Если первое — будь добр дай знать, мол такая тема не обсуждается здесь, здесь только по анимэ обсуждения.. И я забуду про этот когда-то актуальный для меня ресурс.
Ответить
Dmitry
Виктор, здравствуйте!
Ваш предыдущий комментарий от 21.09 есть вот в этой статье https://remontka.pro/virus-page/ — никуда не девался.
Каких-то иных комментариев от вас кроме указанного и вот этого (на который я отвечаю) я не видел. В папке спам тоже ничего. Единственное — вчера я спам вручную не смотрел, просто жмякнул «очистить», так что если вчера комментарий был и как-то туда попал, мог и улететь.
Ещё один момент: когда вы постите комментарий, он не появляется до моего просмотра/ответа (а у вас может типа «исчезать», если чистятся куки, иначе — будет показан в статусе «ожидает проверки»)
Что касается обсуждений: тут каких-то запретов нет, критики меня (мнения моего) в комментариях хватает и когда это не просто мат и переход на личности, а аргументы — всё публикуется исправно. То есть тем каких-то запретных нет (кроме оскорблений, спама и политики переходящей в оскорбления)
Ответить
Виктор
Я только пользователь, поэтому прошу совета. Появились у меня недавно такие программы, откуда не знаю. Было 7. 6 Microsoft Defender убрал, а вот PUA:Win32/Spigot не может убрать. Применяю и Dr.Web CureIt и Kerish PC Doctor, не удаляется. Появляется снова.
Ответить
Viktor
Здравствуйте, Дмитрий!
У меня
PUABundler:Win32/FusionCore
сидит (уже три недели) в
C:/SRecucle. Bin/S-1-5-21-162 …-150…-571…-1000/SRKGTTYO exe.
Как этот PUAB … оттуда убрать?
Ответить
Dmitry
Здравствуйте.
Очистить корзину по идее… судя по пути, он там находится. Не удается?
Ответить
Viktor
Здравствуйте, Дмитрий!
Корзину, что на рабочем столе я конечно же очистил и то, что в ней было переместилось, как говорят специалисты, в папку Recycle. Однако зайдя в это папку увидел, что она пуста. Опять, как говорят специалисты, чтобы что-то в ней увидеть, «копать надо глубже», но как, я не знаю.
Этот PUA можно обнаружить в журнале защиты откуда его можно отправить или в карантин, или удалить. Однако там нет команды «применить», возможно потому, я так думаю, что PUA находится в активном состоянии. Вот нашёл такую информацию подходящую, вроде, для такого случая:
answers.microsoft.com/ru-ru/windows/forum/all/%D0%BD%D0%B5/93422c35-7439-4297-96ad-8e72214a97e8
Но не совсем понял, как отключить все задания в секции Библиотека планировщика.
Может, Дмитрий, подскажите или что-то ещё предложите?
Ответить