PUP.Optional, PUABundler, PUA:Win32 — что это за вирусы и как действовать?

При запуске некоторых программ и их установщиков, либо при сканировании системы встроенными и сторонними антивирусными средствами вы можете увидеть такие угрозы как PUP.Optional.Legacy, PUP.Optional.Bundleinstaller, PUABundler, PUA:Win32/Presenoker и другие, причем обнаруживаться они могут и в обычных программах из официальных источников.
В этой инструкции подробно о том, что представляют собой эти угрозы, что их объединяет, как поступать, если было обнаружено что-то из перечисленного и дополнительная информация, которая может быть полезна.
PUP и PUA — потенциально нежелательные программы

Если ваш антивирус, Microsoft Defender или какое-либо средство удаления вредоносных программ сообщает об обнаружении угрозы, название которой начинается с PUP или PUA, речь идёт не о вирусе в прямом смысле слова, а о потенциально нежелательной программе (Potentially Unwanted Program или Potentially Unwanted App).

Что это такое? Чаще всего речь идёт о программах, которые могут представлять следующие риски: показ рекламы или изменение настроек браузера, установка дополнительных программ в дополнение к основной устанавливаемой программе, удаленный доступ к системе (причем угроза может обнаруживаться для обычных средств работы с удаленным рабочим столом с официального сайта), средства обхода лицензий программ:
- PUP.Optional.Bundleinstaller или PUABundler — программы, устанавливающие другие программы «в нагрузку». Иногда от этого можно отказаться, но не всегда.
- PUP.Optional.Legacy — так обнаруживаются потенциально нежелательные программы, не отнесенные к определенной категории.
- PUA:Win32/GameHack — средства для взлома игр, иногда приводящие к нежелательным последствиям: установка расширений, показ рекламы.
- PUA:Win32/Presenoker — под это определение обычно попадают программы, которые часто используются (например, торрент-клиенты), но при этом могут досаждать рекламой, «захватывать» настройки браузера или менять сетевые настройки.
Это не полный список, а имена определений могут отличаться в зависимости от того, какой конкретно антивирус обнаружил угрозу, например, помимо PUA и PUP такие угрозы могут определяться как Riskware, Possible.Threat. Посмотреть, как угрозу определяют другие антивирусы можно на VirusTotal.com, загрузив на этот сервис файл, в котором она была обнаружена:

Учитывайте: что часто такие программы не представляют прямой опасности, а лишь потенциально могут навредить (особенно в неумелых или замышляющих недоброе руках) или «не нравятся» Windows или антивирусу по иным причинам (например, средства обхода лицензий, некоторые инструменты оптимизации системы).
Что делать с такими угрозами, как удалить или разрешить на компьютере
В зависимости от того, при каких обстоятельствах вы столкнулись со срабатыванием антивируса или обнаружением угрозы PUP.Optional, PUA или аналогичной, действия могут отличаться.
В ситуации, когда блокируется запуск программы или она автоматически удаляется:

- Если обнаружение произошло при скачивании установщика программы с неофициального сайта, при этом программа сама по себе не должна быть потенциально нежелательной — лучше подыскать другой источник, а в идеале загрузить её с официального сайта, использовать winget или, если возможно — Microsoft Store.
- Если речь идёт об установщике программы, который попутно устанавливает дополнительное ненужное ПО — внимательно читать текст на всех этапах установки, снимать ненужные отметки (иногда — устанавливать отметки об отказе).
- В случае, если вы уверены в надежности программы и в том, что программа вам нужна, но она блокируется антивирусом Microsoft Defender, вы можете либо разрешить её на компьютере (подробнее о том, где это сделать — Карантин Microsoft Defender, где находится и как восстановить файлы), или добавить программу в исключения.
- Если блокировка программы выполняется сторонним антивирусом, но вам требуется запустить её, используйте соответствующие настройки антивируса для разрешения запуска программы или добавления программы в исключения.
- На эту тему также может пригодиться: Что делать, если Windows 11/10 сама удаляет файлы.
Примечание: в Microsoft Defender доступна настройка обнаружения и блокирования PUA, самый простой способ отключить её — команда PowerShell (от имени администратора): Set-MpPreference -PUAProtection Disabled
Когда угрозы обнаруживаются при сканировании компьютера какими-либо средствами удаления вредоносных программ, просмотрите в сведениях об обнаружении, где именно были найдены PUP или PUA и:
- Если вы знаете, какие именно программы были распознаны как нежелательные, при этом уверены в них (а лучше — понимаете, почему они были определены как нежелательные) и хотите продолжать использовать — просто исключите угрозу из списка очистки.
- Если вам неизвестно, к каким программам относятся обнаруженные угрозы, создайте точку восстановления системы (на случай, если что-то пойдет не так), а затем удалите обнаруженные нежелательные программы.
Если после удаления «вирусов» PUP и PUA они через некоторое время появляются вновь, это может говорить о том, что на компьютере остаётся что-то (иногда обычная, не нежелательная, программа, иногда — задание в планировщике заданий или запись автозагрузки в реестре), что устанавливает их. Рекомендуемые действия в таком случае:
- Попробовать использовать несколько утилит для удаления вирусов и вредоносных программ — AdwCleaner (или другие средства удаления вредоносных программ), KVRT (Kaspersky Virus Removal Tool), Dr.Web CureIt!
- Внимательно изучить список установленных на компьютере программ и удалить ненужные или подозрительные, посмотреть список программ в автозагрузке и удалить из него ненужное, проверить список заданий в планировщике заданий.
Надеюсь, материал помог разобраться с PUP/PUA. В ситуации, если у вас остались вопросы — опишите ситуацию в комментариях, я постараюсь подсказать решение.
А вдруг и это будет интересно:
- Лучшие бесплатные программы для Windows
- Как открыть Свойства системы Windows 11 и 10
- Как отключить или удалить Связь с телефоном в Windows 11 и 10
- Ошибка 0xc000001d при запуске игры или программы — как исправить?
- Ключ восстановления BitLocker в Windows — способы посмотреть
- User OOBE Broker — что это за процесс в Windows 11 и 10
- Windows 11
- Windows 10
- Android
- Загрузочная флешка
- Лечение вирусов
- Восстановление данных
- Установка с флешки
- Настройка роутера
- Всё про Windows
- В контакте
- Одноклассники
-
Виктор 22.09.2023 в 22:03
- Dmitry 23.09.2023 в 13:59
Виктор, здравствуйте!
Ваш предыдущий комментарий от 21.09 есть вот в этой статье https://remontka.pro/virus-page/ — никуда не девался. Каких-то иных комментариев от вас кроме указанного и вот этого (на который я отвечаю) я не видел. В папке спам тоже ничего. Единственное — вчера я спам вручную не смотрел, просто жмякнул «очистить», так что если вчера комментарий был и как-то туда попал, мог и улететь. Ещё один момент: когда вы постите комментарий, он не появляется до моего просмотра/ответа (а у вас может типа «исчезать», если чистятся куки, иначе — будет показан в статусе «ожидает проверки») Что касается обсуждений: тут каких-то запретов нет, критики меня (мнения моего) в комментариях хватает и когда это не просто мат и переход на личности, а аргументы — всё публикуется исправно. То есть тем каких-то запретных нет (кроме оскорблений, спама и политики переходящей в оскорбления) Ответить
- Живые обои на рабочий стол Windows 11 и Windows 10
- Лучшие бесплатные программы на каждый день
- Как скачать Windows 10 64-бит и 32-бит оригинальный ISO
- Как смотреть ТВ онлайн бесплатно
- Бесплатные программы для восстановления данных
- Лучшие бесплатные антивирусы
- Средства удаления вредоносных программ (которых не видит ваш антивирус)
- Встроенные системные утилиты Windows 10, 8 и 7, о которых многие не знают
- Бесплатные программы удаленного управления компьютером
- Запуск Windows 10 с флешки без установки
- Лучший антивирус для Windows 10
- Бесплатные программы для ремонта флешек
- Что делать, если сильно греется и выключается ноутбук
- Программы для очистки компьютера от ненужных файлов
- Лучший браузер для Windows
- Бесплатный офис для Windows
- Запуск Android игр и программ в Windows (Эмуляторы Android)
- Что делать, если компьютер не видит флешку
- Управление Android с компьютера
- Как открыть Свойства системы Windows 11 и 10
- Как отключить или удалить Связь с телефоном в Windows 11 и 10
- Ошибка 0xc000001d при запуске игры или программы — как исправить?
- Ключ восстановления BitLocker в Windows — способы посмотреть
- User OOBE Broker — что это за процесс в Windows 11 и 10
- Ошибка 0x803F8001 в Microsoft Store, играх и приложениях — как исправить?
- Как использовать режим ожидания на iPhone
- GlideX — смартфон или планшет в качестве второго монитора и другие возможности
- Как открыть Управление компьютером в Windows 11 и 10
- Консоль управления MMC не может создать оснастку — варианты решения
- Appcopier — утилита резервного копирования настроек Windows 11 и 10
- Средство просмотра фотографий не может отобразить изображение — варианты решения
- Как определить тип файла без расширения или с неправильным расширением
- Api-ms-win-core-com-l1-1-0.dll отсутствует на компьютере — как исправить?
- Автоматическое обслуживание Windows 11 — как отключить или настроить
- Windows
- Android
- iPhone, iPad и Mac
- Программы
- Загрузочная флешка
- Лечение вирусов
- Восстановление данных
- Ноутбуки
- Wi-Fi и настройка роутера
- Интернет и браузеры
- Для начинающих
- Безопасность
- Ремонт компьютеров
- Windows
- Android
- iPhone, iPad и Mac
- Программы
- Загрузочная флешка
- Лечение вирусов
- Восстановление данных
- Ноутбуки
- Wi-Fi и настройка роутера
- Интернет и браузеры
- Для начинающих
- Безопасность
- Ремонт компьютеров
Puabundler win32 driverpack что это
Добавить комментарий Отменить ответ
Евгений 18.06.2022 в 01:54
Видео обзор для “Дэбила” чел использует программу от IOBIT – Driver Booster В котором не меньше “вирусов”. Кароче, не верьте всему этому бреду. Используйте DRP или IOBIT Driver Booster и работайте в режиме эксперта и не будет вам ничего лишнего.
Андрей 28.02.2023 в 20:34
чел использует программу от IOBIT – Driver Booster В котором не меньше “вирусов”. ” Используйте DRP или IOBIT Driver Booster ” .
PUA.Win32.DriverPack.USMANEACBF


Threat Type:
Potentially Unwanted Application

Destructiveness:
No

Encrypted:

In the wild:
Yes
OVERVIEW
This Potentially Unwanted Application arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
TECHNICAL DETAILS
File size: 1,372,424 bytes
File type: EXE
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 25 марта 2020
Arrival Details
This Potentially Unwanted Application arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Installation
- .\installer.exe
- %User Temp%\7zS4D884D8B\GenericSetup.exe %User Temp%\7zS4D884D8B\GenericSetup.exe husertype=Admin
- %System%\svchost.exe -k netsvcs
(Note: %User Temp% is the current user’s Temp folder, which is usually C:\Documents and Settings\\Local Settings\Temp on Windows 2000(32-bit), XP, and Server 2003(32-bit), or C:\Users\\AppData\Local\Temp on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) and 10(64-bit).. %System% is the Windows system folder, where it usually is C:\Windows\System32 on all Windows operating system versions.)
- %User Temp%\7zS4D884D8B
- %User Temp%\7zS4D884D8B\es
- %User Temp%\7zS4D884D8B\pt
- %User Temp%\7zS4D884D8B\it
- %User Temp%\7zS4D884D8B\ru
- %User Temp%\7zS4D884D8B\fr
- %User Temp%\7zS4D884D8B\de
- %User Temp%\7zS4D884D8B\en
(Note: %User Temp% is the current user’s Temp folder, which is usually C:\Documents and Settings\\Local Settings\Temp on Windows 2000(32-bit), XP, and Server 2003(32-bit), or C:\Users\\AppData\Local\Temp on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) and 10(64-bit).)
Dropping Routine
- %User Temp%\7zS4D884D8B\it\DevLib.resources.dll
- %User Temp%\7zS4D884D8B\it
- %User Temp%\7zS4D884D8B\pt\DevLib.resources.dll
- %User Temp%\7zS4D884D8B\de\DevLib.resources.dll
- %User Temp%\7zS4D884D8B\DownloadPortal_Embedded.dll
- %User Temp%\7zS4D884D8B\es
- %User Temp%\7zS4D884D8B\WizardPages.dll
- %User Temp%\7zS4D884D8B\Microsoft.Win32.TaskScheduler.dll
- %User Temp%\7zS4D884D8B\ExternalResource.XML
- %User Temp%\7zS4D884D8B\BundleConfig.xml
- %User Temp%\7zS4D884D8B\en\DevLib.resources.dll
- %User Temp%\7zS4D884D8B\Carrier.TORRENT
- %User Temp%\7zS4D884D8B\ru\DevLib.resources.dll
- %User Temp%\7zS4D884D8B\fr\DevLib.resources.dll
- %User Temp%\Soft32 Downloader.log
- %User Temp%\7zS4D884D8B\DevLib.dll
- %User Temp%\7zS4D884D8B\Carrier.exe
- %User Temp%\7zS4D884D8B\en
- %User Temp%\7zS4D884D8B\es\DevLib.resources.dll
- %User Temp%\7zS4D884D8B\pt
- %AppDataLocal%\GDIPFONTCACHEV1.DAT
- %User Temp%\7zS4D884D8B\ru
- %User Temp%\7zS4D884D8B\GenericSetup.exe.config
- %User Temp%\7zS4D884D8B\2019.11.23_10.19.19.406885_installer_pid=640.txt
- %User Temp%\7zS4D884D8B\fr
- %User Temp%\7zS4D884D8B\de
- %User Temp%\7zS4D884D8B\GenericSetup.exe
- %User Temp%\7zS4D884D8B\installer.exe
(Note: %User Temp% is the current user’s Temp folder, which is usually C:\Documents and Settings\\Local Settings\Temp on Windows 2000(32-bit), XP, and Server 2003(32-bit), or C:\Users\\AppData\Local\Temp on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) and 10(64-bit).. %AppDataLocal% is the Local Application Data folder, which is usually C:\Documents and Settings\\Local Settings\Application Data on Windows 2000(32-bit), XP, and Server 2003(32-bit), or C:\Users\\AppData\Local on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) and 10(64-bit).)
Other Details
- http://www.oft.com/pki/certs/MicRooCerAut_2010-06-23.crt
- http://flow.ft.com/v1/event-stat?ProductID=IS&Type=StubStart
- http://flow.ft.com/v1/event-stat?
- http://sos.e.com/v1/bundle/list/?bundleId=SFT002
- http://offerservicefallback.b.core.windows.net
This report is generated via an automated analysis system.
Что такое PUA:Win32/Presenoker это вирус?
Наверняка как PUA был распознан Ccleaner(внесение изменений в системный реестр — угроза стабильности) либо Utorrent (в нем встроенная adware и сама P2P-технология может использоваться для распространения контрафактного контента).
PUA — Потенциально нежелательные приложения» обладают поведением или характерными особенностями, которые могут быть признаны нежелательными или неприемлемыми. «Нежелательные приложения» обладают поведением или характерными особенностями, которые способны оказать более серьезное воздействие на устройство или данные.
Приложение может рассматриваться «потенциально нежелательным» (PUA), если оно способно:
Воздействовать на конфиденциальность или производительность, например когда раскрывает личную информацию или выполняет несанкционированные действия
Подвергает ненужной нагрузке ресурсы устройства, например использует значительный объем хранилища или памяти
Подвергает риску систему безопасности устройства или информацию, хранящуюся на нем, например демонстрирует непредвиденный контент или приложения
Воздействие подобных вариантов поведения и характерных особенностей на устройство или данные может варьироваться от умеренного до серьезного. Однако они не являются достаточно опасными, чтобы с уверенностью относиться к категории вредоносных программ.
Если приложение обладает поведением или характерными особенностями, оказывающими серьезное воздействие, оно рассматривается в качестве «нежелательного приложения» (НП). Продукт будет обрабатывать подобные приложения с особой осторожностью.
Так как вы лучше всего способны оценить, нужно ли доверять и использовать «потенциально нежелательное» или «нежелательное» приложение, можно выбрать, каким образом продукт будет обрабатывать его.
Потенциально нежелательное приложение. Продукт выведет на экран предупреждение перед тем, как приложению будет разрешен запуск в обычном режиме. Если вы доверяете приложению, можно разрешить продукту запускать его. Можно также выбрать блокировку приложения продуктом.
Нежелательное приложение. Продукт заблокирует и отправит приложение на карантин. Если вы доверяете приложению, можно исключить его из дальнейших проверок.
Даниил КолтышевУченик (119) 7 месяцев назад
Спасибо, всё ясно обьяснил.
Остальные ответы
А проверить в VirusTotal не судьба, качаешь от них виджет для контекстного меню https://support.virustotal.com/hc/en-us/articles/115002179065-Desktop-Apps#windows-uploader, находишь местоположение файла, ПКМ и отправляешь его в VirusTotal
Через данную угрозу на сегодня никаких напрямую вредоносных действий нет. Просто Микрософт «предупреждает».
PUA:Win32/Presenoker удалять или оставить
Windows определяет PUA:Win32/Presenoker в файле utorrent.exe как «потенциально опасное приложение». Никаких явных угроз в нём нет.

Потенциально опасной программой является, с точки зрения производителей программного обеспечения, все децентрализованные сети. Причина — невозможность контролировать трафик.
noПрофи (522) 2 года назад

Как убедиться в отсутствии проблем с безопасностью
Прогнать компьютер утилитой CureIt.
Посмотреть загрузку центрального и графического процессора. В норме она выглядит примерно так.
noПрофи (522) 1 год назад
не плохо еще скачать malwarebytes бесплатно 14дней дают, тоже отлично находит всю гадость на вашем ПК.
Данные приложения «встраиваются» в цепочку с шифрованным трафиком, позволяя реализовывать атаку MiM (man in middle). Конфиденциальные данные могут быть скомпрометированы!