PUP.Optional, PUABundler, PUA:Win32 — что это за вирусы и как действовать?

При запуске некоторых программ и их установщиков, либо при сканировании системы встроенными и сторонними антивирусными средствами вы можете увидеть такие угрозы как PUP.Optional.Legacy, PUP.Optional.Bundleinstaller, PUABundler, PUA:Win32/Presenoker и другие, причем обнаруживаться они могут и в обычных программах из официальных источников.

В этой инструкции подробно о том, что представляют собой эти угрозы, что их объединяет, как поступать, если было обнаружено что-то из перечисленного и дополнительная информация, которая может быть полезна.

PUP и PUA — потенциально нежелательные программы

Если ваш антивирус, Microsoft Defender или какое-либо средство удаления вредоносных программ сообщает об обнаружении угрозы, название которой начинается с PUP или PUA, речь идёт не о вирусе в прямом смысле слова, а о потенциально нежелательной программе (Potentially Unwanted Program или Potentially Unwanted App).

Что это такое? Чаще всего речь идёт о программах, которые могут представлять следующие риски: показ рекламы или изменение настроек браузера, установка дополнительных программ в дополнение к основной устанавливаемой программе, удаленный доступ к системе (причем угроза может обнаруживаться для обычных средств работы с удаленным рабочим столом с официального сайта), средства обхода лицензий программ:

• PUP.Optional.Bundleinstaller или PUABundler — программы, устанавливающие другие программы «в нагрузку». Иногда от этого можно отказаться, но не всегда.
• PUP.Optional.Legacy — так обнаруживаются потенциально нежелательные программы, не отнесенные к определенной категории.
• PUA:Win32/GameHack — средства для взлома игр, иногда приводящие к нежелательным последствиям: установка расширений, показ рекламы.
• PUA:Win32/Presenoker — под это определение обычно попадают программы, которые часто используются (например, торрент-клиенты), но при этом могут досаждать рекламой, «захватывать» настройки браузера или менять сетевые настройки.

Это не полный список, а имена определений могут отличаться в зависимости от того, какой конкретно антивирус обнаружил угрозу, например, помимо PUA и PUP такие угрозы могут определяться как Riskware, Possible.Threat. Посмотреть, как угрозу определяют другие антивирусы можно на VirusTotal.com, загрузив на этот сервис файл, в котором она была обнаружена:

Учитывайте: что часто такие программы не представляют прямой опасности, а лишь потенциально могут навредить (особенно в неумелых или замышляющих недоброе руках) или «не нравятся» Windows или антивирусу по иным причинам (например, средства обхода лицензий, некоторые инструменты оптимизации системы).

Что делать с такими угрозами, как удалить или разрешить на компьютере

В зависимости от того, при каких обстоятельствах вы столкнулись со срабатыванием антивируса или обнаружением угрозы PUP.Optional, PUA или аналогичной, действия могут отличаться.

В ситуации, когда блокируется запуск программы или она автоматически удаляется:

• Если обнаружение произошло при скачивании установщика программы с неофициального сайта, при этом программа сама по себе не должна быть потенциально нежелательной — лучше подыскать другой источник, а в идеале загрузить её с официального сайта, использовать winget или, если возможно — Microsoft Store.
• Если речь идёт об установщике программы, который попутно устанавливает дополнительное ненужное ПО — внимательно читать текст на всех этапах установки, снимать ненужные отметки (иногда — устанавливать отметки об отказе).
• В случае, если вы уверены в надежности программы и в том, что программа вам нужна, но она блокируется антивирусом Microsoft Defender, вы можете либо разрешить её на компьютере (подробнее о том, где это сделать — Карантин Microsoft Defender, где находится и как восстановить файлы), или добавить программу в исключения.
• Если блокировка программы выполняется сторонним антивирусом, но вам требуется запустить её, используйте соответствующие настройки антивируса для разрешения запуска программы или добавления программы в исключения.
• На эту тему также может пригодиться: Что делать, если Windows 11/10 сама удаляет файлы.

Примечание: в Microsoft Defender доступна настройка обнаружения и блокирования PUA, самый простой способ отключить её — команда PowerShell (от имени администратора): Set-MpPreference -PUAProtection Disabled

Когда угрозы обнаруживаются при сканировании компьютера какими-либо средствами удаления вредоносных программ, просмотрите в сведениях об обнаружении, где именно были найдены PUP или PUA и:

• Если вы знаете, какие именно программы были распознаны как нежелательные, при этом уверены в них (а лучше — понимаете, почему они были определены как нежелательные) и хотите продолжать использовать — просто исключите угрозу из списка очистки.
• Если вам неизвестно, к каким программам относятся обнаруженные угрозы, создайте точку восстановления системы (на случай, если что-то пойдет не так), а затем удалите обнаруженные нежелательные программы.

Если после удаления «вирусов» PUP и PUA они через некоторое время появляются вновь, это может говорить о том, что на компьютере остаётся что-то (иногда обычная, не нежелательная, программа, иногда — задание в планировщике заданий или запись автозагрузки в реестре), что устанавливает их. Рекомендуемые действия в таком случае:

• Попробовать использовать несколько утилит для удаления вирусов и вредоносных программ — AdwCleaner (или другие средства удаления вредоносных программ), KVRT (Kaspersky Virus Removal Tool), Dr.Web CureIt!
• Внимательно изучить список установленных на компьютере программ и удалить ненужные или подозрительные, посмотреть список программ в автозагрузке и удалить из него ненужное, проверить список заданий в планировщике заданий.

Надеюсь, материал помог разобраться с PUP/PUA. В ситуации, если у вас остались вопросы — опишите ситуацию в комментариях, я постараюсь подсказать решение.