PUP.Optional, PUABundler, PUA:Win32 — что это за вирусы и как действовать?
При запуске некоторых программ и их установщиков, либо при сканировании системы встроенными и сторонними антивирусными средствами вы можете увидеть такие угрозы как PUP.Optional.Legacy, PUP.Optional.Bundleinstaller, PUABundler, PUA:Win32/Presenoker и другие, причем обнаруживаться они могут и в обычных программах из официальных источников.
В этой инструкции подробно о том, что представляют собой эти угрозы, что их объединяет, как поступать, если было обнаружено что-то из перечисленного и дополнительная информация, которая может быть полезна.
PUP и PUA — потенциально нежелательные программы
Если ваш антивирус, Microsoft Defender или какое-либо средство удаления вредоносных программ сообщает об обнаружении угрозы, название которой начинается с PUP или PUA, речь идёт не о вирусе в прямом смысле слова, а о потенциально нежелательной программе (Potentially Unwanted Program или Potentially Unwanted App).
Что это такое? Чаще всего речь идёт о программах, которые могут представлять следующие риски: показ рекламы или изменение настроек браузера, установка дополнительных программ в дополнение к основной устанавливаемой программе, удаленный доступ к системе (причем угроза может обнаруживаться для обычных средств работы с удаленным рабочим столом с официального сайта), средства обхода лицензий программ:
- PUP.Optional.Bundleinstaller или PUABundler — программы, устанавливающие другие программы «в нагрузку». Иногда от этого можно отказаться, но не всегда.
- PUP.Optional.Legacy — так обнаруживаются потенциально нежелательные программы, не отнесенные к определенной категории.
- PUA:Win32/GameHack — средства для взлома игр, иногда приводящие к нежелательным последствиям: установка расширений, показ рекламы.
- PUA:Win32/Presenoker — под это определение обычно попадают программы, которые часто используются (например, торрент-клиенты), но при этом могут досаждать рекламой, «захватывать» настройки браузера или менять сетевые настройки.
Это не полный список, а имена определений могут отличаться в зависимости от того, какой конкретно антивирус обнаружил угрозу, например, помимо PUA и PUP такие угрозы могут определяться как Riskware, Possible.Threat. Посмотреть, как угрозу определяют другие антивирусы можно на VirusTotal.com, загрузив на этот сервис файл, в котором она была обнаружена:
Учитывайте: что часто такие программы не представляют прямой опасности, а лишь потенциально могут навредить (особенно в неумелых или замышляющих недоброе руках) или «не нравятся» Windows или антивирусу по иным причинам (например, средства обхода лицензий, некоторые инструменты оптимизации системы).
Что делать с такими угрозами, как удалить или разрешить на компьютере
В зависимости от того, при каких обстоятельствах вы столкнулись со срабатыванием антивируса или обнаружением угрозы PUP.Optional, PUA или аналогичной, действия могут отличаться.
В ситуации, когда блокируется запуск программы или она автоматически удаляется:
- Если обнаружение произошло при скачивании установщика программы с неофициального сайта, при этом программа сама по себе не должна быть потенциально нежелательной — лучше подыскать другой источник, а в идеале загрузить её с официального сайта, использовать winget или, если возможно — Microsoft Store.
- Если речь идёт об установщике программы, который попутно устанавливает дополнительное ненужное ПО — внимательно читать текст на всех этапах установки, снимать ненужные отметки (иногда — устанавливать отметки об отказе).
- В случае, если вы уверены в надежности программы и в том, что программа вам нужна, но она блокируется антивирусом Microsoft Defender, вы можете либо разрешить её на компьютере (подробнее о том, где это сделать — Карантин Microsoft Defender, где находится и как восстановить файлы), или добавить программу в исключения.
- Если блокировка программы выполняется сторонним антивирусом, но вам требуется запустить её, используйте соответствующие настройки антивируса для разрешения запуска программы или добавления программы в исключения.
- На эту тему также может пригодиться: Что делать, если Windows 11/10 сама удаляет файлы.
Примечание: в Microsoft Defender доступна настройка обнаружения и блокирования PUA, самый простой способ отключить её — команда PowerShell (от имени администратора): Set-MpPreference -PUAProtection Disabled
Когда угрозы обнаруживаются при сканировании компьютера какими-либо средствами удаления вредоносных программ, просмотрите в сведениях об обнаружении, где именно были найдены PUP или PUA и:
- Если вы знаете, какие именно программы были распознаны как нежелательные, при этом уверены в них (а лучше — понимаете, почему они были определены как нежелательные) и хотите продолжать использовать — просто исключите угрозу из списка очистки.
- Если вам неизвестно, к каким программам относятся обнаруженные угрозы, создайте точку восстановления системы (на случай, если что-то пойдет не так), а затем удалите обнаруженные нежелательные программы.
Если после удаления «вирусов» PUP и PUA они через некоторое время появляются вновь, это может говорить о том, что на компьютере остаётся что-то (иногда обычная, не нежелательная, программа, иногда — задание в планировщике заданий или запись автозагрузки в реестре), что устанавливает их. Рекомендуемые действия в таком случае:
- Попробовать использовать несколько утилит для удаления вирусов и вредоносных программ — AdwCleaner (или другие средства удаления вредоносных программ), KVRT (Kaspersky Virus Removal Tool), Dr.Web CureIt!
- Внимательно изучить список установленных на компьютере программ и удалить ненужные или подозрительные, посмотреть список программ в автозагрузке и удалить из него ненужное, проверить список заданий в планировщике заданий.
Надеюсь, материал помог разобраться с PUP/PUA. В ситуации, если у вас остались вопросы — опишите ситуацию в комментариях, я постараюсь подсказать решение.
А вдруг и это будет интересно:
- Лучшие бесплатные программы для Windows
- Что такое MPRT в характеристиках монитора?
- MinerSearch — поиск и удаление майнера в Windows
- Program в автозагрузке Windows — что это и можно ли удалить?
- SSD определяется как HDD или наоборот в Windows — решение
- Не удалось запустить службу Windows Audio на Локальный компьютер — как исправить?
- Windows 11
- Windows 10
- Android
- Загрузочная флешка
- Лечение вирусов
- Восстановление данных
- Установка с флешки
- Настройка роутера
- Всё про Windows
- В контакте
- Одноклассники
-
Виктор 22.09.2023 в 22:03
- Dmitry 23.09.2023 в 13:59
Виктор, здравствуйте!
Ваш предыдущий комментарий от 21.09 есть вот в этой статье https://remontka.pro/virus-page/ — никуда не девался. Каких-то иных комментариев от вас кроме указанного и вот этого (на который я отвечаю) я не видел. В папке спам тоже ничего. Единственное — вчера я спам вручную не смотрел, просто жмякнул «очистить», так что если вчера комментарий был и как-то туда попал, мог и улететь. Ещё один момент: когда вы постите комментарий, он не появляется до моего просмотра/ответа (а у вас может типа «исчезать», если чистятся куки, иначе — будет показан в статусе «ожидает проверки») Что касается обсуждений: тут каких-то запретов нет, критики меня (мнения моего) в комментариях хватает и когда это не просто мат и переход на личности, а аргументы — всё публикуется исправно. То есть тем каких-то запретных нет (кроме оскорблений, спама и политики переходящей в оскорбления) Ответить
- Живые обои на рабочий стол Windows 11 и Windows 10
- Лучшие бесплатные программы на каждый день
- Как скачать Windows 10 64-бит и 32-бит оригинальный ISO
- Как смотреть ТВ онлайн бесплатно
- Бесплатные программы для восстановления данных
- Лучшие бесплатные антивирусы
- Средства удаления вредоносных программ (которых не видит ваш антивирус)
- Встроенные системные утилиты Windows 10, 8 и 7, о которых многие не знают
- Бесплатные программы удаленного управления компьютером
- Запуск Windows 10 с флешки без установки
- Лучший антивирус для Windows 10
- Бесплатные программы для ремонта флешек
- Что делать, если сильно греется и выключается ноутбук
- Программы для очистки компьютера от ненужных файлов
- Лучший браузер для Windows
- Бесплатный офис для Windows
- Запуск Android игр и программ в Windows (Эмуляторы Android)
- Что делать, если компьютер не видит флешку
- Управление Android с компьютера
- Что такое MPRT в характеристиках монитора?
- MinerSearch — поиск и удаление майнера в Windows
- Program в автозагрузке Windows — что это и можно ли удалить?
- SSD определяется как HDD или наоборот в Windows — решение
- Не удалось запустить службу Windows Audio на Локальный компьютер — как исправить?
- Как автоматически скрывать строку меню и Dock в MacOS
- Ошибка DXGI ERROR DEVICE HUNG — как исправить?
- Как сбросить Windows на заводские настройки в командной строке
- Как создать отчет о работе Wi-Fi сети в Windows 11 и 10
- Устройство tap0901 — что это и как установить драйвер?
- Клавиши Alt и Win поменялись местами — как исправить?
- Ошибка 0x80072efd — как исправить?
- AV Block Remover — убираем блокировку антивирусов и сайтов майнером
- Ошибка 0x80070643 при обновлении KB5034441 — как исправить?
- Загрузочная флешка или карта памяти в balenaEtcher
- Windows
- Android
- iPhone, iPad и Mac
- Программы
- Загрузочная флешка
- Лечение вирусов
- Восстановление данных
- Ноутбуки
- Wi-Fi и настройка роутера
- Интернет и браузеры
- Для начинающих
- Безопасность
- Ремонт компьютеров
- Windows
- Android
- iPhone, iPad и Mac
- Программы
- Загрузочная флешка
- Лечение вирусов
- Восстановление данных
- Ноутбуки
- Wi-Fi и настройка роутера
- Интернет и браузеры
- Для начинающих
- Безопасность
- Ремонт компьютеров
Как полностью удалить PUA: Win32 Presenoker
Пользователь удален Знаток (452) Albedo, а другие торрент клиенты или их скаченные установщики?
LIveCD
В поиск вводим название — находим — удаляем
Похожие вопросы
Ваш браузер устарел
Мы постоянно добавляем новый функционал в основной интерфейс проекта. К сожалению, старые браузеры не в состоянии качественно работать с современными программными продуктами. Для корректной работы используйте последние версии браузеров Chrome, Mozilla Firefox, Opera, Microsoft Edge или установите браузер Atom.
Закрыто Windows Defender не удаляет PUA:Win32/Presenoker, PUABundler:Win32/uTorrent_BundleInstaller, PUA:Win32/SBYinYing
Доброго дня! помогите пожалуйста. случайно заглянул в журнал и увидел, что Windows Defender обнаружил PUA:Win32/Presenoker, PUABundler:Win32/uTorrent_BundleInstaller, PUA:Win32/SBYinYing. они не удаляются! что делать и как быть?)
N1Tra
Новый пользователь
Сообщения 25 Реакции 0
RogueKiller Anti-Malware их не видит
regist
гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения 14,862 Реакции 6,782
Правила оформления запроса о помощи
FAQ Как оформить запрос о помощи в разделе лечения? Внимание! Инструкции, подготовленные нашими специалистами, пишутся (составляются) индивидуально для каждого пользователя. Не производите самостоятельного лечения на основании инструкций, которые подготовлены для другого пользователя, так как.
www.safezone.cc
N1Tra
Новый пользователь
Сообщения 25 Реакции 0
Прошу прощения, не внимательно прочитал правила оформления запроса о помощи. Вот архив с логами.
Вложения
CollectionLog-2023.09.05-10.42.zip
103.6 KB · Просмотры: 2
Sandor
Команда форума
Администратор
Ассоциация VN/VIP
Преподаватель
Сообщения 14,781 Реакции 3,173
Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
N1Tra
Новый пользователь
Сообщения 25 Реакции 0
Вот отчёты.
Вложения
Addition.txt
68.5 KB · Просмотры: 2
48.8 KB · Просмотры: 2
Sandor
Команда форума
Администратор
Ассоциация VN/VIP
Преподаватель
Сообщения 14,781 Реакции 3,173
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение "C:\WINDOWS\system32\AMD\ANR\AMDNoiseSuppression.exe" (Нет файла) GroupPolicy\User: Ограничение ? - System32\Tasks\Remove AdwCleaner Application => C:\WINDOWS\system32\CMD.EXE [323584 2023-07-22] (Microsoft Windows -> Microsoft Corporation) -> /C DEL /F /Q "C:\Users\nik-t\OneDrive\Рабочий стол\adwcleaner_8.4.0.exe" CHR HKU\S-1-5-21-3164046312-1778408635-3290769131-1001\SOFTWARE\Google\Chrome\Extensions\. \Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec] CHR HKLM-x32\. \Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb] S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X] AlternateDataStreams: C:\Users\nik-t\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\nik-t\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394] FirewallRules: [] => (Allow) LPort=27015 FirewallRules: [] => (Allow) LPort=27015 cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*" cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log" cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*" cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*" cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*" ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End::MacOS.Presenoker
MacOS.Presenoker — это эвристический метод обнаружения угрозы рекламного ПО, атакующей компьютеры MacOS. Это означает, что это по определению потенциально нежелательная программа (ПНП), предназначенная для вставки рекламы и баннеров на веб-сайты, вставки нежелательных гиперссылок в обычные тексты и создания вводящих в заблуждение всплывающих сообщений, которые продвигают поддельные обновления и подозрительные приложения или другое программное обеспечение. Пользователи также могут ожидать, что такой ПНП, как MacOS.Presenoker, добавил функции взлома браузера, что означает, что он может контролировать некоторые важные настройки браузера с целью перенаправления пользователей на сторонние веб-сайты.
Как правило, ПНП изменяют домашнюю страницу браузера и поисковую систему по умолчанию, заменяя их поддельной поисковой системой. Впоследствии браузер открывает указанный URL-адрес при каждом запуске, в то время как поисковые запросы пользователей проходят через некоторые потенциально опасные партнерские страницы или службы. Таким образом, основной целью MacOS.Presenoker является получение доходов от рекламы для своих владельцев. Однако это также может привести к серьезным проблемам с конфиденциальностью для затронутых пользователей macOS. Контент, продвигаемый этой ПНП, может содержать ссылки на вредоносные веб-сайты, на которых пользователи заражаются троянами или программами-вымогателями. С другой стороны, большинство ПНП собирают информацию о просмотре, такую как историю просмотров, посещенные URL-адреса или даже сохраненные пароли и данные для входа. Собранные данные затем продаются на подпольных хакерских форумах и могут быть использованы злоумышленниками.
Некоторые антивирусные программы также обнаруживают MacOS.Presenoker как PUA.Presnoker, GrayWare / Win32 / Presnoker, PUA: Win32 / Presenoker, и похоже, что он также может быть нацелен на системы Windows. В некоторых отчетах указывается, что вирус Presenoker распространяется через сомнительные плагины, связанные с потоковыми сервисами. Тем не менее, ПНП также предлагаются в различных установочных пакетах, содержащих другие бесплатные приложения или инструменты. Установка бесплатного программного обеспечения с небезопасных веб-сайтов подвергает пользователей риску серьезного заражения вредоносными программами, поэтому приложения всегда следует загружать из надежных источников или через официальный магазин Apple. К счастью, MacOS.Presenoker может быть легко обнаружен и удален большинством антивирусных решений для macOS.