Toon posts:

QSearch adware

Pagina: 1
Acties:

Vraag

woensdag 8 mei 2019 09:09

Acties:
  • 0 Henk 'm!
  • orf
  • Registratie: Augustus 2005
  • Laatst online: 00:44

orf

Topicstarter
Sinds ik een installer heb gedownload voor een database-tool en ik haastig niet oplette wat in installeerde heb ik last van adware op m’n macbook.

Met Malwarebytes (free) heb ik een groot deel hiervan verwijderd, maar een deel is erg hardnekkig. De standaard zoekmachine in Chrome wordt eens in de zoveel tijd veranderd naar QSearch. Die linkt met een referrelcode o.i.d. door naar Bing of Yahoo.

Afbeeldingslocatie: https://tweakers.net/ext/f/XUyUNIASH96oOvnUAUIi1NYL/full.png

Ik heb hier al een tijdje last van en als ik een scan doe met Malwarebytes, dan vindt hij soms iets, moet ik opnieuw opstarten en heb ik een tijdje geen last meer. De zoekmachine in Chrome moet ik met de hand verwijderen. Er staat inmiddels al heel wat in Quarantine van Malwarebytes, maar toch blijft er telkens iets achter.

Afbeeldingslocatie: https://tweakers.net/ext/f/pvnnMxgVTYWEk2B6JyjffXgs/full.png

Wat ik al gedaan heb:

Ik heb in Chrome alle extensies uitgeschakeld. Toen dat niet hielp heb ik een paar bekende extensies weer ingeschakeld (Lastpass, Adblock plus)

Ik heb in hulprogramma’s gezocht naar verdachte programma’s, maar daar kom ik niets tegen.

Afbeeldingslocatie: https://tweakers.net/ext/f/ElvW55CVPde6dNMkfyp4JGA7/full.png

Ik heb bij de geïnstalleerde programma’s gezocht naar verdachte programma’s, maar ook daar vind ik niets.

Ik heb heel wat gegoogled op dit probleem, maar ik word niet perse wijzer. Veel sites verwijzen naar betaalde tools en stappenplannen verwijzen naar hulpprogramma’s en extensies.

Iemand die hier een verlossend antwoord heeft?

Beste antwoord (via orf op 09-05-2019 18:54)

donderdag 9 mei 2019 14:58

  • Geronimous
  • Registratie: Maart 2004
  • Laatst online: 23:14

Geronimous

orf schreef op donderdag 9 mei 2019 @ 13:17:
[...]

Bedankt voor je reactie. :) Ik wist niet eens dat die mappen bestonden. Ik ben niet superbekend met MacOS.

LaunchAgents:
[Afbeelding]

Waarbij ik com.MacCheck.plist en com.utilityData.plist verdacht vind. Op die laatste vind ik bijna niets met Google.
com.MacCheck.plist verwijst in de XML naar
code:
1

/Users/orf/Library/MacCheck/MacCheck.app/Contents/MacOS/MacCheck

com.utilityData.plist verwijst naar
code:
1

/Users/orf/Library/utilityData/utilityData.app/Contents/MacOS/utilityData


Ik weet niet of ik ze zonder risico kan verwijderen en of dit verdacht is?

InternetPlugins:
[Afbeelding]
Als ik hier op Google, dan lijkt het een Screen sharing plugin te zijn. Die kan sowieso weg lijkt me.

De andere mappen heb ik niet in /Library/. Ik heb (gelukkig) ook geen profielen.
Alles dat in die mappen zit, is sowieso 3rd party (met uitzondering van de /Extensions/ map, daarin zitten ook 10 default kernel extensies, deze zeker NIET verwijderen).

macCheck.plist en utilityData.plist zijn inderdaad verdacht, ik zou ze verwijderen. het ergste is dat ze behoren tot een applicatie die je zelf hebt geinstalleerd, maar deze plists verwijderen uit de launchitems voorkomt alleen dat deze worden meegestart met je systeem. Soms zetten apps ze ook gewoon weer terug als je de app zelf weer start na opnieuw opstarten.
Ik vind er op google ook verder weinig over, dus gewoon verwijderen.

Die internetplugin ook zeker wegmikken, geen zuivere koek.

Je zou zelfs, als je de plistjes hebt verwijderd en al je eigen apps werken gewoon prima, de bijbehorende mappen in /Bibliotheek/Containers/ en /Bibliotheek/ApplicationData/ kunnen mikken (of wat je verder vind in je libraries). Aangezien ze verwijzen naar de library map in je gebruikersmap, zal daar ook de nodige rommel zitten.

Je kunt met OPTION (alt) ingedrukt in de Finder op 'Ga' klikken > Bibliotheek, en daar ook de volgende mappen eens bekijken:
/LaunchAgents/
/InternetPlugins/

en duidelijk een aantal mappen zoals /macCheck/ en /utilityData/

Aangezien Malwarebytes regelmatig zaken blijft vinden zou je eens kunnen kijken of je met aanvullende antivirus apps eens wat scans kunt doen, of zoals eerder voorgesteld, een backup maken, je systeem wissen en opnieuw installeren, en alleen je documenten uit de backup terugzetten. Veel werk, zeker als je veel apps had geinstalleerd, maar dan begin je wel met een schone lei.

Overigens helpt het ook om je macOS op de laatste versie te hebben; dat voorkomt veel bekende malware om voet aan de grond te krijgen.

⚛︎ 1-2-2022 poor Leno

Alle reacties

woensdag 8 mei 2019 09:35

Acties:
  • 0 Henk 'm!
  • MelvinW
  • Registratie: Juli 2014
  • Laatst online: 21-09 09:48

MelvinW

Als het continu in Chrome gebeurt, dan lijkt het me het beste om gewoon Chrome te verwijderen (inclusief profielgegevens) en weer opnieuw te installeren.

[ Voor 3% gewijzigd door MelvinW op 08-05-2019 09:36 ]

woensdag 8 mei 2019 10:10

Acties:
  • 0 Henk 'm!
  • orf
  • Registratie: Augustus 2005
  • Laatst online: 00:44

orf

Topicstarter
Bedankt voor je reactie. Ik had Chrome al eens gereset, maar nu Chrome verwijderd en de profielmap verwijderd. En natuurlijk opnieuw geïnstalleerd. Ik kan niet zien of het daarmee opgelost is. Soms duurt het tot een week voordat de adware weer op komt. Even afwachten dus. :)

woensdag 8 mei 2019 10:32

Acties:
  • 0 Henk 'm!
  • lvdgraaff
  • Registratie: Oktober 2013
  • Laatst online: 21:05

lvdgraaff

De meest rigoureuze methode is natuurlijk je mac opnieuw installeren. Dat hoeft niet eens heel veel werk te zijn, afhankelijk van welke software je gebruikt en hoe je dataopslag is geregeld.
In jouw geval dan misschien het beste om te installeren via internet recovery - dan weet je zeker dat er een frisse install van Apple op staat.

donderdag 9 mei 2019 11:05

Acties:
  • 0 Henk 'm!
  • Geronimous
  • Registratie: Maart 2004
  • Laatst online: 23:14

Geronimous

Kun je screenshots plaatsen van wat er in deze mappen zit?

HD > Bibliotheek > Extensions
HD > Bibliotheek > LaunchAgents
HD > Bibliotheek > LaunchDaemons
HD > Bibliotheek > StartupItems
HD > Bibliotheek > InputSources
HD > Bibliotheek > InternetPlugins

Verder zou ik eens kijken in de Systeemvoorkeuren of er geen Profielen bij zijn gekomen. soms willen search engines, startpaginas etc een profiel installeren dat deze zaken afdwingt.
('Profielen' in Systeemvoorkeuren verschijnt alleen als er 1 of meerdere profielen zijn geinstalleerd)

[ Voor 57% gewijzigd door Geronimous op 09-05-2019 11:12 ]

⚛︎ 1-2-2022 poor Leno

donderdag 9 mei 2019 13:17

Acties:
  • 0 Henk 'm!
  • orf
  • Registratie: Augustus 2005
  • Laatst online: 00:44

orf

Topicstarter
Geronimous schreef op donderdag 9 mei 2019 @ 11:05:
Kun je screenshots plaatsen van wat er in deze mappen zit?

HD > Bibliotheek > Extensions
HD > Bibliotheek > LaunchAgents
HD > Bibliotheek > LaunchDaemons
HD > Bibliotheek > StartupItems
HD > Bibliotheek > InputSources
HD > Bibliotheek > InternetPlugins

Verder zou ik eens kijken in de Systeemvoorkeuren of er geen Profielen bij zijn gekomen. soms willen search engines, startpaginas etc een profiel installeren dat deze zaken afdwingt.
('Profielen' in Systeemvoorkeuren verschijnt alleen als er 1 of meerdere profielen zijn geinstalleerd)
Bedankt voor je reactie. :) Ik wist niet eens dat die mappen bestonden. Ik ben niet superbekend met MacOS.

LaunchAgents:
Afbeeldingslocatie: https://tweakers.net/ext/f/td3pFW0oFIhmG4vFUkr4qI3t/full.png

Waarbij ik com.MacCheck.plist en com.utilityData.plist verdacht vind. Op die laatste vind ik bijna niets met Google.
com.MacCheck.plist verwijst in de XML naar
code:
1

/Users/orf/Library/MacCheck/MacCheck.app/Contents/MacOS/MacCheck

com.utilityData.plist verwijst naar
code:
1

/Users/orf/Library/utilityData/utilityData.app/Contents/MacOS/utilityData


Ik weet niet of ik ze zonder risico kan verwijderen en of dit verdacht is?

InternetPlugins:
Afbeeldingslocatie: https://tweakers.net/ext/f/9CHf1TOfshsWE24OiN2rcjMT/full.png
Als ik hier op Google, dan lijkt het een Screen sharing plugin te zijn. Die kan sowieso weg lijkt me.

De andere mappen heb ik niet in /Library/. Ik heb (gelukkig) ook geen profielen.

donderdag 9 mei 2019 13:53

Acties:
  • 0 Henk 'm!
  • kaassouffle
  • Registratie: Januari 2002
  • Laatst online: 20-09 13:37

kaassouffle

Medewerker v/d Maand

Al google search gedaan op 'Qsearch' / 'Qsearch removal'. Zijn vaak wel tutorials te vinden met instructies. Wel goed opletten/lezen en niet zomaar alles verwijderen, maar ze wijzen misschien wel op locaties of bestandsnamen om op te zoeken.

https://howtoremove.guide/remove-qsearch-virus-mac/
https://www.pcrisk.com/re...h-com-pop-up-redirect-mac
http://www.myantispyware....ac-chrome-firefox-safari/

https://www.2-spyware.com/remove-qsearch.html (windows)

donderdag 9 mei 2019 14:58

Acties:
  • Beste antwoord
  • +1 Henk 'm!
  • Geronimous
  • Registratie: Maart 2004
  • Laatst online: 23:14

Geronimous

orf schreef op donderdag 9 mei 2019 @ 13:17:
[...]

Bedankt voor je reactie. :) Ik wist niet eens dat die mappen bestonden. Ik ben niet superbekend met MacOS.

LaunchAgents:
[Afbeelding]

Waarbij ik com.MacCheck.plist en com.utilityData.plist verdacht vind. Op die laatste vind ik bijna niets met Google.
com.MacCheck.plist verwijst in de XML naar
code:
1

/Users/orf/Library/MacCheck/MacCheck.app/Contents/MacOS/MacCheck

com.utilityData.plist verwijst naar
code:
1

/Users/orf/Library/utilityData/utilityData.app/Contents/MacOS/utilityData


Ik weet niet of ik ze zonder risico kan verwijderen en of dit verdacht is?

InternetPlugins:
[Afbeelding]
Als ik hier op Google, dan lijkt het een Screen sharing plugin te zijn. Die kan sowieso weg lijkt me.

De andere mappen heb ik niet in /Library/. Ik heb (gelukkig) ook geen profielen.
Alles dat in die mappen zit, is sowieso 3rd party (met uitzondering van de /Extensions/ map, daarin zitten ook 10 default kernel extensies, deze zeker NIET verwijderen).

macCheck.plist en utilityData.plist zijn inderdaad verdacht, ik zou ze verwijderen. het ergste is dat ze behoren tot een applicatie die je zelf hebt geinstalleerd, maar deze plists verwijderen uit de launchitems voorkomt alleen dat deze worden meegestart met je systeem. Soms zetten apps ze ook gewoon weer terug als je de app zelf weer start na opnieuw opstarten.
Ik vind er op google ook verder weinig over, dus gewoon verwijderen.

Die internetplugin ook zeker wegmikken, geen zuivere koek.

Je zou zelfs, als je de plistjes hebt verwijderd en al je eigen apps werken gewoon prima, de bijbehorende mappen in /Bibliotheek/Containers/ en /Bibliotheek/ApplicationData/ kunnen mikken (of wat je verder vind in je libraries). Aangezien ze verwijzen naar de library map in je gebruikersmap, zal daar ook de nodige rommel zitten.

Je kunt met OPTION (alt) ingedrukt in de Finder op 'Ga' klikken > Bibliotheek, en daar ook de volgende mappen eens bekijken:
/LaunchAgents/
/InternetPlugins/

en duidelijk een aantal mappen zoals /macCheck/ en /utilityData/

Aangezien Malwarebytes regelmatig zaken blijft vinden zou je eens kunnen kijken of je met aanvullende antivirus apps eens wat scans kunt doen, of zoals eerder voorgesteld, een backup maken, je systeem wissen en opnieuw installeren, en alleen je documenten uit de backup terugzetten. Veel werk, zeker als je veel apps had geinstalleerd, maar dan begin je wel met een schone lei.

Overigens helpt het ook om je macOS op de laatste versie te hebben; dat voorkomt veel bekende malware om voet aan de grond te krijgen.

⚛︎ 1-2-2022 poor Leno

donderdag 9 mei 2019 15:16

Acties:
  • +2 Henk 'm!
  • Daedalus
  • Registratie: Mei 2002
  • Niet online

Daedalus

Moderator Apple Talk

Keep tryin'

Voor het vinden van zaken die @Geronimous aangeeft is KnockKnock ook erg handig. Je krijgt dan een mooi overzicht van internet plug-ins, startup scripts, en andere zaken, welke ook direct gescand worden via VirusTotal. Is wat handiger dan handmatig alle locaties afgaan :)

“You know what I've noticed Hobbes? Things don't bug you if you don't think about them. So from now on, I simply won't think about anything I don't like, and I'll be happy all the time!” | 宇多田ヒカル \o/

donderdag 9 mei 2019 20:40

Acties:
  • 0 Henk 'm!
  • orf
  • Registratie: Augustus 2005
  • Laatst online: 00:44

orf

Topicstarter
Geronimous schreef op donderdag 9 mei 2019 @ 14:58:
[...]


Alles dat in die mappen zit, is sowieso 3rd party (met uitzondering van de /Extensions/ map, daarin zitten ook 10 default kernel extensies, deze zeker NIET verwijderen).

macCheck.plist en utilityData.plist zijn inderdaad verdacht, ik zou ze verwijderen. het ergste is dat ze behoren tot een applicatie die je zelf hebt geinstalleerd, maar deze plists verwijderen uit de launchitems voorkomt alleen dat deze worden meegestart met je systeem. Soms zetten apps ze ook gewoon weer terug als je de app zelf weer start na opnieuw opstarten.
Ik vind er op google ook verder weinig over, dus gewoon verwijderen.

Die internetplugin ook zeker wegmikken, geen zuivere koek.

Je zou zelfs, als je de plistjes hebt verwijderd en al je eigen apps werken gewoon prima, de bijbehorende mappen in /Bibliotheek/Containers/ en /Bibliotheek/ApplicationData/ kunnen mikken (of wat je verder vind in je libraries). Aangezien ze verwijzen naar de library map in je gebruikersmap, zal daar ook de nodige rommel zitten.

Je kunt met OPTION (alt) ingedrukt in de Finder op 'Ga' klikken > Bibliotheek, en daar ook de volgende mappen eens bekijken:
/LaunchAgents/
/InternetPlugins/

en duidelijk een aantal mappen zoals /macCheck/ en /utilityData/

Aangezien Malwarebytes regelmatig zaken blijft vinden zou je eens kunnen kijken of je met aanvullende antivirus apps eens wat scans kunt doen, of zoals eerder voorgesteld, een backup maken, je systeem wissen en opnieuw installeren, en alleen je documenten uit de backup terugzetten. Veel werk, zeker als je veel apps had geinstalleerd, maar dan begin je wel met een schone lei.

Overigens helpt het ook om je macOS op de laatste versie te hebben; dat voorkomt veel bekende malware om voet aan de grond te krijgen.
De bestanden en programma's heb ik verwijderd. Ik heb AVG gedownload en daar een volledige scan mee gedaan. Die vindt alleen dingen in de Trash en in de Quarantine van Malwarebytes. Als dit het niet opgelost heeft, dan ga ik inderdaad een reïnstall doen.
Daedalus schreef op donderdag 9 mei 2019 @ 15:16:
Voor het vinden van zaken die @Geronimous aangeeft is KnockKnock ook erg handig. Je krijgt dan een mooi overzicht van internet plug-ins, startup scripts, en andere zaken, welke ook direct gescand worden via VirusTotal. Is wat handiger dan handmatig alle locaties afgaan :)
KnockKnock vond een regel in de crontab (al bestond het programma waar naar verwezen wordt niet meer) en ook nog iets verdachts in de /Library/ map. Ik hoop dat dit het is.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq