Skip to main content

“Ask You” pop-up virus: hoe te verwijderen van Mac

Met sommige Mac-gebruikers die momenteel worden overspoeld met valse “Ask You” pop-ups die verschijnen in het Berichtencentrum, is hier een gegarandeerde manier om er vanaf te komen.

Wat is de “Ask You” Mac pop-up?

Het Berichtencentrum is sinds de release van OS X Mountain Lion in 2012 een onvervreemdbaar onderdeel van de Mac-gebruikerservaring. Met elke nieuwe versie van het besturingssysteem heeft deze functie verfijningen ondergaan, maar het overkoepelende idee blijft hetzelfde: de kloof overbruggen tussen de gebruiker en mogelijk belangrijke informatie gegenereerd door applicaties die op de machine draaien. Er valt niet te ontkennen dat dit onderdeel enorm nuttig is, maar met het voorbehoud dat het al jaren in de schijnwerpers staat van oplichters en malwareverspreiders. De dominante vector van uitbuiting in deze context komt neer op het misleiden van de gebruiker om een specifieke app toestemming te geven meldingen te tonen, en de gebruikelijke bron van dit misbruik is een webbrowser. Dat is precies waar de recente “Ask You” Mac pop-up activiteit over gaat. Met zo'n aanval aan de gang, wordt het slachtoffer geïrriteerd door non-stop berichten van een dienst genaamd “Ask You” die uit het Berichtencentrum worden gespuwd, zoals geïllustreerd in de volgende afbeelding.

'Ask You' pop-up Mac scam in actie

De reden voor deze schurkenstatenmeldingen die het rechterdeel van het Mac-scherm overspoelen, is dat een rommelsite op de een of andere manier groen licht heeft gekregen om meldingen weer te geven. Hoewel de meeste getroffenen zich niet kunnen herinneren dat ze op die manier een fout hebben gemaakt, is dit gevolg geen kwestie van een zero-click-aanval of een vergelijkbare geavanceerde tactiek. Het begint allemaal met een potentieel slachtoffer dat een louche site bezoekt zoals mictiotom.com of guroshied.com die een valse menselijke verificatieaanvraag activeert die zogenaamd nodig is om een bepaald soort virale inhoud te bekijken, zoals breaking news of een video waar iedereen het over heeft.

Deze webpagina's kunnen ook alternatieve verhalen pushen, afhankelijk van de locatie van de bezoekers en andere parameters. Valse virusdetectierapporten, zogenaamd afkomstig van McAfee of andere betrouwbare beveiligingsoplossingen, met een "magische" herstelknop zijn ook vrij wijdverspreid. De waarheid is dat deze "Bevestig dat je geen robot bent" en malware-gerelateerde rommel pop-ups niets anders zijn dan een gordijn voor dubieuze toestemmingsdialoogvensters, waarbij het klikken op een ogenschijnlijk onschadelijk ding die site de bevoegdheden geeft om meldingen te genereren via het Berichtencentrum.

Deze strategie is browserneutraal, wat betekent dat het van toepassing is op Safari, Google Chrome en Mozilla Firefox in dezelfde mate. Het variabele aspect is de manier waarop de gebruiker op de kwaadaardige site terecht is gekomen. In de meeste gevallen begint het pad met een misleidende advertentie geplaatst op een populaire publicatie door middel van hacks in het contentbeheersysteem (CMS) of kwetsbaarheden in de externe componenten van de doelsites, zoals plugins of thema's. De advertentie zal de dubieuze bron openen zodra erop wordt geklikt. Een ander waarschijnlijk scenario heeft betrekking op de activiteit van een browseromleidingsvirus dat al in de Mac op de loer ligt en het verkeer naar willekeurige domeinen doorstuurt zoals geïnstrueerd door externe malwareoperators. Ongeacht het mechanisme hangt de uiteindelijke uitkomst af van de waakzaamheid van de gebruiker over het al dan niet omgaan met verdachte site-elementen.

De kern van het probleem ligt meestal in het manipuleren van de meldingsinstellingen van de browser.

Als het plan van de boeven lukt, zullen de “Ask You” pop-ups het computergebruik van het slachtoffer voortdurend onderbreken. Ze bevatten meestal een soort enge informatie om de gebruiker onder druk te zetten om onmiddellijk actie te ondernemen zonder er twee keer over na te denken. Enkele voorbeelden van de manipulatieve bewoordingen van deze berichten zijn als volgt:

  • “Detected: Trojan_BO8DF831059 – Mac scan required”
  • “macOS: The system is in danger! Threat detected. Click to delete”
  • “Gmail alert: Account has been hacked. Your data may be stolen! Delete virus”
  • “Kerberos utherntication: ***”
  • “System Mac OS is infected! Choose an action to restore the system”
  • “Your iCloud is being hacked! Click here to remove the virus”
  • “Bank of America: Security alert. Someone is trying to steal $410 from your bank account”
  • “The virus can be damaged. Antivirus update is recommended”

De boeven achter dit schema verwachten op deze manier mensen aan de haak te slaan, aangezien interactie met deze meldingen riskant is. In veel gevallen zal dit een frauduleuze webpagina openen die scareware promoot onder het mom van een legitieme malwarescanner. Sommige van deze landingspagina's bevatten tech support scams die de bezoeker instrueren om een “technicus” aan de telefoon te krijgen. Deze variant van het plan kan erop gericht zijn de gebruiker te overtuigen om een externe toegangssessie met de Mac toe te staan, wat op de lange termijn leidt tot privacyproblemen en gevaarlijke code-downloads. Bovendien is het “Tetris” van deze meldingen over het hele bureaublad op zich al een enorme overlast.

Een opvallend kenmerk van deze waarschuwingen is dat sommige ervan doorspekt zijn met typefouten en onzinnige bewoordingen, zoals in de zin “The virus can be damaged” bijvoorbeeld. Hoewel dit op het eerste gezicht lijkt op gewone nalatigheid en past bij de populaire bewering dat cybercriminelen hun werk niet nalezen, kan dit gebruik van slecht Engels ook opzettelijk zijn. De voornaamste doelwitten van de oplichters zijn mensen die niet de juiste aandacht voor detail hebben - dat is het publiek dat het meest vatbaar is voor online hoaxes. Daarom zou deze campagne ingewikkelder kunnen zijn dan het lijkt.

Het lichtpuntje is dat de oplossing triviaal kan zijn. De schermafbeelding hierboven toont de methode die meestal werkt als een charme. Als de scam pop-ups willekeurige sites in Safari openen wanneer erop wordt geklikt, wordt aanbevolen om de voorkeuren van de browser te openen, op het tabblad “Websites” te klikken en “Meldingen” in de zijbalk te selecteren. Als er een vermelding in het hoofdvenster staat met een label “Toestaan” ernaast, zorg er dan voor dat je in plaats daarvan “Weigeren” kiest. De workflow is vergelijkbaar met andere browsers. Een andere nuttige stap is om Systeemvoorkeuren te openen, naar “Meldingen” te gaan, de misdragende webbrowser te kiezen en toestemmingen in te trekken die verdacht lijken. Als niets van dit alles werkt, zullen de onderstaande alinea's je begeleiden door een effectieve malware-reinigingsprocedure die het probleem zou moeten aanpakken.

Handmatige verwijdering van het “Ask You” virus voor Mac

De onderstaande stappen zorgen dat je deze kwaadaardige applicatie kunt verwijderen. Zorg ervoor dat je de instructies in de aangegeven volgorde volgt.

  1. Kijk in het Ga-menu de zoekbalk van je Mac en selecteer Hulpprogramma's zoals hieronder weergegeven.

    Ga naar Hulpprogramma’s

  2. Zoek het Activiteitenweergave-icoontje op het Hulpprogramma's scherm en dubbelklik erop.

    Selecteer de Activiteitenweergave

  3. In de app Activiteitenweergave, zoek naar een proces dat verdacht lijkt. Om je zoekopdracht te verfijnen, focus op onbekende, bron-intensieve vermeldingen in de lijst. Houd er rekening mee dat de naam niet noodzakelijk gerelateerd is aan de manier waarop de dreiging zich manifesteert, dus je zult op je eigen oordeel moeten vertrouwen. Als je de boosdoener hebt geïdentificeerd, selecteer deze dan en klik op het Stop-icoontje in de linkerbovenhoek van het scherm.

    Stop Kwaadaardig proces

  4. Wanneer er een vervolg dialoogvenster verschijnt met de vraag of je zeker weet dat je proces wilt stoppen, selecteert je de optie Forceer stop.

    Selecteert je de optie Forceer stop

  5. Klik opnieuw op het Ga-menupictogram in de zoekbalk en selecteer Ga naar map. Je kunt ook de sneltoets Command-Shift-G gebruiken.

    Gebruik de functie Ga naar folder

  6. Typ /Bibliotheek/LaunchAgents in het dialoogvenster voor het zoeken naar mappen en klik op de knop Ga.

    Open /Bibliotheek/LaunchAgents folder

  7. Zoek in de LaunchAgents-folder naar dubieus uitziende items. Houd er rekening mee dat de namen van bestanden die door malware worden voortgebracht geen duidelijke aanwijzingen kunnen geven dat ze kwaadaardig zijn, dus je moet zoeken naar recentelijk toegevoegde entiteiten die lijken af te wijken van de norm.

    Ter illustratie volgen hier verschillende voorbeelden van LaunchAgents met betrekking tot mainstream Mac-infecties: com.pcv.hlpramc.plist, com.updater.mcy.plist, com.avickUpd.plist, en com.msp.agent.plist. Als je bestanden ziet die niet op de lijst thuishoren dan kun je ze naar de Prullenbak slepen.

    Inhoud van de map LaunchAgents op rootniveau

  8. Gebruik de Ga naar map op zoek functie opnieuw om te navigeren naar de map met de naam ~/Bibliotheek/Application Support (let op het tilde-symbool dat is voorgeprogrammeerd op het pad).

    Open ~/Bibliotheek/Application Support map

  9. Wanneer de Application Support map wordt geopend, identificeer dan de recentelijk gegenereerde verdachte mappen daarin en doe ze in de prullenbak. Een snelle tip is om te zoeken naar items waarvan de namen niets te maken hebben met Apple producten of apps die je bewust hebt geïnstalleerd. Een paar voorbeelden van bekende malafide mapnamen zijn com.AuraSearchDaemonProgressSite und IdeaShared.

    Inhoud van de ondersteuningsmap voor toepassingen

  10. Voer ~/Bibliotheek/LaunchAgents tekenreeks in (vergeet niet het tilde karakter op te nemen) in het Ga naar map zoekgebied.

    Open ~/Bibliotheek/LaunchAgents directory

  11. Het systeem zal LaunchAgents weergeven die zich bevinden in de thuismap van de huidige gebruiker. Zoek naar de volgende verdachte items gerelateerd aan het “Ask You” pop-upvirus: com.ConnectionCache.service.plist, com.digitalprotection.emcupdater.plist, com.mulkey.plist, com.nbp.plist en com.sys.system.plist. Sleep deze bestanden naar de Prullenbak.

    Inhoud van de LaunchAgents-map in de thuismap van de gebruiker

  12. Type /Bibliotheek/LaunchDaemons in het zoekveld Ga naar map.

    Ga naar /Bibliotheek/LunchDaemons

  13. Probeer in het pad LaunchDaemons de bestanden te lokaliseren die de malware gebruikt voor persistentie. Enkele voorbeelden van dergelijke items die door Mac-infecties zijn bijgesneden, zijn com.ConnectionCache.system.plist en com.mulkeyd.plist. Verwijder deze dubieuze bestanden onmiddellijk.

    Inhoud van de map LaunchDaemons

  14. Klik op het Ga-menupictogram in de Finder van je Mac en selecteer Apps in de lijst.

    Ga naar het scherm Apps op de Mac

  15. Zoek de ingang voor een app die daar duidelijk niet thuishoort en verplaats deze naar de Prullenmand. Als voor deze actie je admin-wachtwoord nodig is voor bevestiging dan kun je deze invoeren.

    Sleep kwaadaardige app naar de Prullenmand

  16. Ga naar het Apple menu en selecteer Systeemvoorkeuren.

    Selecteer Systeemvoorkeuren

    Open Systeemvoorkeuren

  17. Ga naar Gebruikers en groepen en klik op het tabblad Inloggen.

    Ga naar Gebruikers en groepen

    Het systeem toont de lijst met items die gestart zijn bij het opstarten van de computer. Zoek daar de mogelijk ongewenste app en klik op de "-" knop.

    Verwijder ongewenste inloggen

  18. Selecteer nu Profielen onder Systeemvoorkeuren. Zoek naar een kwaadaardig item in de linker zijbalk. Enkele voorbeelden van configuratieprofielen die door Mac adware zijn gemaakt, zijn AdminPrefs, TechSignalSearch, MainSearchPlatform en Safari Preferences. Selecteer de overtredende entiteit en klik op het minteken onderaan om deze te verwijderen. 

    Selecteer nu Profielen onder Systeemvoorkeuren

    Verwijder kwaadaardige configuratieprofielen van de Mac

    Als je Mac is geïnfiltreerd door adware, zal de infectie waarschijnlijk de standaardwebbrowser blijven domineren, zelfs nadat je het onderliggende programma en de onderdelen ervan in het systeem hebt verwijderd. Gebruik de onderstaande instructies voor het opschonen van de browser om de resterende gevolgen van deze aanval aan te pakken.

De "Ask You" verwijderen in webbrowser op Mac

Om te beginnen moeten de instellingen van de webbrowser die door het "Ask You" redirect virus zijn overgenomen, worden hersteld naar de standaardinstellingen. Dit zal de meeste van je eigen instellingen, surfgeschiedenis en alle tijdelijke gegevens die door websites zijn opgeslagen wissen, maar ook de schadelijke interferentie. Het overzicht van de stappen voor het voltooien van deze procedure is als volgt:

  1. Verwijder het "Ask You"-virus uit Safari
    • Open de browser en ga naar het Safari-menu. Selecteer Voorkeuren in de vervolgkeuzelijst.

      Geavanceerd tabblad onder Safari Voorkeuren

    • Zodra het Voorkeuren-scherm verschijnt, klik je op het tabblad Geavanceerd en activeer je de optie "Toon Ontwikkel-menu in menubalk".

      Geavanceerd tabblad onder Safari Voorkeuren

    • Nu het item Ontwikkeling is toegevoegd aan het Safari-menu, schuif je het uit en klik je op Leeg caches.

      Leeg caches in Safari

    • Selecteer nu Geschiedenis in het Safari-menu en klik op Wis geschiedenis in de keuzelijst.

      Wis geschiedenis in Safari

    • Safari zal een dialoogvenster weergeven waarin wordt gevraagd om de periode te specificeren waarop deze actie van toepassing zal zijn. Selecteer voor maximaal effect de hele geschiedenis. Klik op de knop Wis geschiedenis om te bevestigen en af te sluiten.

      Selecteer hele geschiedenis om te wissen

    • Ga terug naar de Safari Voorkeuren en klik op de Privacy tabblad bovenaan. Zoek de optie Beheer websitegegevens en klik erop.

      optie Beheer websitegegevens onder het tabblad Privacy

    • De browser geeft een vervolgscherm weer met de websites die gegevens over uw internetactiviteiten hebben opgeslagen. Dit dialoogvenster bevat bovendien een korte beschrijving van wat de verwijdering doet: het is mogelijk dat je wordt uitgelogd van sommige diensten en dat je andere veranderingen in het gedrag van de website tegenkomt na de ingreep. Als je dat goed vindt, dan kun je op de knop Verwijder alles klikken.

      Bevestigingsdialoog

    • Herstart Safari.
  2. Verwijder "Ask You" van Google Chrome
    • Open Chrome, klik op het pictogram Google Chrome aanpassen en beheren (⁝) in het rechterbovengedeelte van het venster en selecteer Instellingen in de vervolgkeuzelijst.

      Chrome Instellingen

    • Selecteer in het deelvenster Instellingen Geavanceerd.
    • Scroll naar beneden naar het gedeelte Instellingen resetten.

      Instellingen resetten

    • Bevestig de Chrom-reset in een dialoogvenster dat verschijnt. Wanneer de procedure is voltooid, start je de browser opnieuw op en controleert je deze op malwareactiviteit.

      Hier wordt uitgelegd hoe je de instellingen in Chrome op de Mac kunt resetten

  3. Verwijder het "Ask You" van Mozilla Firefox
    • Open Firefox en ga naar Help - Probleemopossingsinformatie (of typ about:support in de URL-balk en druk op Enter).

      Open Firefox en ga naar Help

      Open Firefox en ga naar Help - Probleemopossingsinformatie

    • Klik in het scherm Probleemopossingsinformatie op de knop Firefox opfrissen.

      Firefox opfrissen op Mac

    • Bevestig de voorgenomen wijzigingen en start Firefox opnieuw op.

Verwijder het “Ask You” pop-upvirus met het Combo Cleaner verwijderingstool

De Mac-onderhouds- en beveiligingsapp Combo Cleaner is een alles-in-een oplossing voor het opsporen en verwijderen van "Ask You"-virus. Deze techniek heeft aanzienlijke voordelen ten opzichte van handmatig opruimen, omdat het hulpprogramma elk uur een update van de virusdefinitie krijgt en zelfs de nieuwste Mac-infecties nauwkeurig kan opsporen.

Bovendien vindt de automatische oplossing de kernbestanden van de malware diep in de systeemstructuur, wat anders een uitdaging zou kunnen zijn om zelf te vinden. Hier is een stap-voor-stap handleiding om "Ask You" te verwijderen met behulp van Combo Cleaner:

  1. Download het Combo Cleaner installatieprogramma. Als je klaar bent, dubbelklik je op het bestand combocleaner.dmg en volg je de aanwijzingen om het programma op je Mac te installeren.

    Combo Cleaner downloaden

    Door het downloaden van alle toepassingen die op deze website worden aanbevolen, ga je akkoord met onze Algemene Voorwaarden en het Privacybeleid. De gratis scanner controleert of je Mac is geïnfecteerd. Om van malware af te komen, moet je de Premium-versie van Combo Cleaner aanschaffen.

  2. Open de app vanaf je Launchpad en laat deze de update van de database met malware uitvoeren om te checken of deze de nieuwste bedreigingen kan detecteren.
  3. Klik op de knop Combo-Scannen starten om je Mac te controleren op schadelijke activiteiten en prestatieproblemen.

    Combo Cleaner Mac scan progress

  4. Bekijk de scanresultaten. Als in het rapport staat "No Threats" (geen bedreigingen), dan ben je op de goede weg met het handmatig schoonmaken en kun je veilig verder gaan met het opruimen van de webbrowser die door de nawerkingen van de malware-aanval kan blijven werken (zie de instructies hierboven).

    Combo Cleaner scan report – no threats found

  5. Als Combo Cleaner kwaadaardige code heeft ontdekt, dan klik je op de knop Geselecteerde items verwijderen en laat je het hulpprogramma "Ask You"-bedreiging verwijderen, samen met eventuele andere virussen, PUP's (mogelijk ongewenste programma's) of ongewenste bestanden die niet op je Mac thuishoren.

    Combo Cleaner – threats found

  6. Als je ervoor hebt gezorgd dat het kwaadaardige programma is verwijderd, kan het probleem op browserniveau nog steeds op je takenlijst staan. Als het probleem zich voordoet in de voorkeursbrowser, kun je het vorige gedeelte van deze handleiding gebruiken om weer probleemloos op het web te kunnen surfen.
63

Was this article helpful? Please, rate this.

There are no comments yet.
Authentication required

You must log in to post a comment.

Log in