ManualFinderApp ist ein kürzlich entdeckter trojanisierter Installer, der als legitime Windows-MSI-Datei präsentiert wird. Die Probe (Hash: d0838244e7ebd0b4…) wird „ManualFinder“ zugeordnet und war ursprünglich von GLINT SOFTWARE SDN. BHD. signiert, dessen Zertifikat mittlerweile widerrufen wurde. Die Ausführung erfolgt typischerweise über eine stille Installation (msiexec/qn/i) und wird häufig durch eine geplante JavaScript-Aufgabe initiiert, die node.exe startet, um ein nach GUID benanntes Skript aus %LOCALAPPDATA%\TEMP\ auszuführen.

Nach der Installation wurde Persistenz durch geplante Aufgaben und die Ausführung von WScript aus dem temporären Verzeichnis des Benutzers beobachtet. Aktivitäten, die mit Spyware übereinstimmen, beinhalten die Auflistung und Beendigung von Browsern, Versuche auf die Chromium-„Web Data“-Datei zuzugreifen sowie Registry-Abfragen nach Sicherheitssoftware. Beobachtete Command-and-Control- sowie Distributionsinfrastruktur umfasst mka3e8[.]com, y2iax5[.]com und portal[.]manualfinder[.]com.

Die Verbreitung steht in Verbindung mit PUPs wie OneStart, AppSuite-PDF/PDF Editor, wobei einige Varianten nach einem Update-Flag wie --cm=--fullupdate in den Infostealer-Modus wechseln. Gemeldete sichtbare Symptome für Benutzer umfassen flackernde CMD-Fenster, Anomalien beim Hintergrundbild und irreführende Pop-ups. ManualFinderApp ist keine Windows-Komponente und sollte umgehend entfernt werden; Persistenz-Artefakte und ausführbare Dateien im temporären Verzeichnis müssen beim Bereinigen berücksichtigt werden.

Wir haben getestet, dass SpyHunter ManualFinderApp* erfolgreich entfernt und empfehlen die Nutzung. Es verhindert, dass sich ManualFinderApp erneut installiert, und sorgt dafür, dass Ihr Gerät frei von Malware bleibt.

7 Tage kostenlos testen*

oder

Jetzt kaufen15% RABATT wenn Sie direkt ohne Test kaufen.

Erweiterter Anti-Malware-Schutz

Blockiert schädliche Websites

Individuelle Malware-Fixes für Sie

Verhindert Neuinstallation

OFFER*Source der Aussage, dass SH es entfernen kann. Test mit Kreditkarte, keine Vorauszahlung; full terms.

So entfernen Sie die Malware ManualFinderApp.exe

Beginnen Sie mit einem Standard-Deinstallationsversuch. Da ManualFinder über MSI installiert wird (msiexec /qn /i) und mit gebündelten Installern verknüpft ist, kann ein Eintrag unter Apps & Features/Programme vorhanden sein. Wenn er vorhanden ist, ist das Entfernen der direkteste Lösungsweg und dauert nur wenige Minuten. Dieser Schritt kann in manchen Fällen aufgrund zusätzlicher Persistenz oder späterer „Umschalt“-Updates fehlschlagen, aber die Überprüfung, ob ein registrierter Deinstallierer existiert, spart unnötige Maßnahmen zur Schadensbehebung.

Wenn die Malware weiterhin vorhanden ist – keine Panik. Die folgenden erweiterten Schritte decken eine tiefere Entfernung ab.

ZUSAMMENFASSUNG:

Name	ManualFinderApp
Typ	Trojaner
Erkennungstool	Einige Bedrohungen installieren sich selbst neu, wenn Sie ihre Kerndateien nicht löschen. Wir empfehlen den Download von SpyHunter, um schädliche Programme für Sie zu entfernen. Dies kann Ihnen Stunden sparen und sicherstellen, dass Sie Ihr System nicht durch das Löschen der falschen Dateien schädigen. SpyHunter herunterladen (kostenloser Remover*) ANGEBOT *Der kostenlose Remover ermöglicht Ihnen, vorbehaltlich einer 48-stündigen Wartezeit, eine Abhilfe und Entfernung für gefundene Ergebnisse. Weitere Informationen über SpyHunter, EULA, Kriterien zur Datenschutzrichtlinien.

Erweiterte Schritte zur Entfernung der ManualFinder App

Wenn ManualFinderApp aktiv ist, erzeugt sie erkennbare Artefakte, die bei der Eindämmung helfen. Achten Sie auf laufende Prozesse wie ManualFinderApp.exe oder node.exe, die ein nach GUID benanntes JavaScript aus %TEMP% ausführen, auf kürzlich durchgeführte stille msiexec-Installationen wie ManualFinder-v2.0.196.msi sowie auf Verbindungen zu Domains wie mka3e8[.]com. Zu den Live-Aktivitäten gehören auch PowerShell-/WMI-Browserprüfungen und nachfolgende taskkill-Befehle für Chrome/Edge, um Zugang zu Anmeldedaten-Speichern zu erhalten. Untersuchen Sie diese Indikatoren, solange sie aktiv sind, um die Erstdiagnose zu beschleunigen.

Wir verstehen, wenn Sie keine Drittanbieter-Software verwenden möchten, und versuchen in der Regel, unsere Anleitungen vollständig „manuell“ zu halten. In diesem Fall benötigen Sie diese App jedoch möglicherweise, um bestimmte Malware-Dateien zu entfernen, was ein wesentlicher Teil des Bereinigungsprozesses ist.

Aber keine Sorge, LockHunter verlangt kein Geld, hat keine Werbung und erfordert nicht einmal eine Registrierung. Sie können es in etwa zwei Minuten herunterladen und installieren.

Task-Manager-Bereinigung: ManualFinderApp-Prozesse beenden

Das Entfernen von Malware erfordert fast immer eine gründliche Bereinigung im Task-Manager. Sie müssen die dort laufenden Prozesse sorgfältig prüfen, potenziell schädliche identifizieren und sie zusammen mit ihren Daten löschen. Die folgenden Schritte zeigen Ihnen, wie das geht.

Wir haben getestet, dass SpyHunter ManualFinderApp* erfolgreich entfernt und empfehlen die Nutzung. Es verhindert, dass sich ManualFinderApp erneut installiert, und sorgt dafür, dass Ihr Gerät frei von Malware bleibt.

7 Tage kostenlos testen*

oder

Jetzt kaufen15% RABATT wenn Sie direkt ohne Test kaufen.

Erweiterter Anti-Malware-Schutz

Blockiert schädliche Websites

Individuelle Malware-Fixes für Sie

Verhindert Neuinstallation

OFFER*Source der Aussage, dass SH es entfernen kann. Test mit Kreditkarte, keine Vorauszahlung; full terms.

Finden und Löschen der ManualFinder.exe-Malwaredateien

Gehen Sie nicht davon aus, dass die Entfernung abgeschlossen ist, nachdem offensichtliche Dateien gelöscht wurden. Diese Kampagne verteilt Komponenten über temporäre Benutzerpfade und Persistenzpunkte, darunter geplante Aufgaben, die node.exe und WScript aus %TEMP% ausführen. Zurückgelassene, nach GUID benannte Skripte (z. B. …or.js/…of.js) oder im Temp-Verzeichnis gespeicherte Binärdateien können die Funktionalität wiederherstellen. Eine gründliche Überprüfung der Temp-Verzeichnisse und benutzerbasierten Autostarts ist erforderlich, um eine Reaktivierung zu verhindern.

Entfernen von ManualFinderApp-Aufgaben im Aufgabenplaner

Überprüfen Sie die vom Installer erstellten Einträge im Aufgabenplaner. Hosts, die mit dieser Aktivität in Verbindung stehen, enthalten häufig Aufgaben, die cmd.exe minimieren und node.exe mit einem GUID-basierten JavaScript aus %LOCALAPPDATA%\TEMP\ ausführen – manchmal unter Namen wie sys_component_health_<GUID>. Solche Aufgaben können ManualFinder nach einer scheinbaren Bereinigung erneut installieren oder starten. Identifizieren und entfernen Sie alle Aufgaben, die auf Skripte im Temp-Pfad oder lokale node.exe-Kopien unter %APPDATA%\NodeJs\ oder %LOCALAPPDATA%\Programs\nodejs\ verweisen.

Bereinigen Sie die Windows-Registrierung von ManualFinderApp-Einträgen

Die Bereinigung der Registrierung ist ein wichtiger Schritt, sollte aber nur durchgeführt werden, wenn Sie sicher sind, dass Sie nichts Falsches löschen. In allen anderen Fällen empfehle ich die Verwendung von SpyHunter zur automatischen Bereinigung. Falls Sie diesen Schritt selbst durchführen möchten, gehen Sie wie folgt vor:

Sobald Sie alles entfernt haben, starten Sie Ihren PC neu. Beobachten Sie die Leistung und das Verhalten beim Start, um sicherzustellen, dass die Bedrohung beseitigt ist.

Was ist ManualFinderApp.exe?

ManualFinder lässt sich am besten als trojanisierter Installer einstufen und ist keine legitime Windows-Komponente. Er wird über aggressive Werbekampagnen verbreitet, die “kostenlose” Tools wie PDF Editor/AppSuite-PDF und OneStart bewerben. In vielen Fällen startet eine JavaScript-basierte geplante Aufgabe node.exe aus einem Benutzerverzeichnis, um ein GUID-benanntes Skript in %TEMP% auszuführen, das dann eine stille MSI-Installation durchführt (z. B. msiexec /qn /i ManualFinder-v2.0.196.msi). Einige Proben waren code-signiert – insbesondere durch GLINT SOFTWARE SDN. BHD. –, aber dieses Zertifikat wurde mittlerweile widerrufen, was ein wichtiges Vertrauenssignal entfernt.

Nach der Installation wird die Persistenz in der Regel durch Aufgabenplanung und WScript-Ausführungen aus temporären Benutzerpfaden aufrechterhalten. Die Aktivitäten auf betroffenen Hosts entsprechen typischem Verhalten von Spyware/Infostealern: Browser werden aufgelistet und beendet (Chrome/Edge), Chromium-„Web Data“-Speicher werden ausgelesen und Registrierungseinträge von Sicherheitsprogrammen geprüft. In einigen Fällen wurde auch ein Update-Schalter (z. B. --cm=--fullupdate) beobachtet, der einen zunächst harmlos wirkenden PDF-Editor in einen Infostealer verwandelt. Netzwerktelemetrie verknüpft Infektionen mit Infrastrukturen wie mka3e8[.]com, y2iax5[.]com und portal[.]manualfinder[.]com. In der Community wurden vermehrte Aktivitäten ab dem 17. August 2025 (15:00 UTC) festgestellt.

Symptome für Endnutzer können kurze cmd-Fenster, Hintergrundbild-Anomalien und täuschende Pop-ups sein; das Beenden von ManualFinderApp schließt oft das bösartige Fenster, aber geplante Aufgaben können es schnell erneut starten. Aufgrund der Verbreitungsmethoden, Fähigkeiten und des Persistenzmodells erfüllt ManualFinder die praktische Definition eines Trojans. Systeme mit diesen Anzeichen sollten als kompromittiert betrachtet und mit besonderer Aufmerksamkeit für geplante Aufgaben, Skripte/Binärdateien in temporären Pfaden sowie die stille Installationskette analysiert und bereinigt werden.

Wie kann man sich in Zukunft vor ManualFinderApp schützen?

Reduzieren Sie das Risiko an der Quelle. Beziehen Sie keine PDF-Tools oder „Manual Finder“-Anwendungen über Werbeanzeigen oder schlanke Landing-Pages; die Kampagne hinter ManualFinder nutzte ad-getriebene Verteilung und gebündelte Installer. Laden Sie Software nur direkt von vertrauenswürdigen Anbietern herunter und seien Sie bei Tools wie AppSuite-PDF/PDF Editor/OneStart vorsichtig – sie spielten eine Rolle in früheren Infektionsketten. Seien Sie skeptisch gegenüber code-signierten Installern, die über Werbung verbreitet werden; widerrufene oder häufig wechselnde Zertifikate (wie das von GLINT) sind ein Warnsignal.

Härten Sie die Browserschicht mit bewährten Sicherheitspraktiken:

• Automatische Downloads deaktivieren: Aktivieren Sie in den Browser-Einstellungen „Immer nach Speicherort fragen“. Das verhindert stille Downloads in %TEMP%, die später über msiexec /qn /i ausgeführt werden.
• Erweiterte Sicherheit aktivieren: Aktivieren Sie in Chromium-Browsern Erweiterter Schutz und Immer sichere Verbindungen verwenden (vergleichbare Optionen gibt es in anderen Browsern). Strengere Prüfungen senken das Risiko durch Drive-by-Downloads und Weiterleitungen.
• Werbeblocker installieren: Hochwertige Blocker unterdrücken bösartige Pop-ups und Weiterleitungen und senken so das Risiko durch Werbekampagnen wie diese.

Für Organisationen empfiehlt es sich, einfache Erkennungssignaturen basierend auf beobachtetem Verhalten einzurichten: Alarm bei node.exe, das GUID-benannte .js-Dateien aus temporären Benutzerpfaden ausführt; geplante Aufgaben, die Node.js lokal unter %APPDATA%\NodeJs\ oder %LOCALAPPDATA%\Programs\nodejs\ starten; stille msiexec-Installationen aus %TEMP%; sowie ausgehende Verbindungen oder DNS-Lookups zu Kampagnendomains wie mka3e8[.]com, y2iax5[.]com oder portal[.]manualfinder[.]com. Wenn möglich, sollten auch Muster zur Browser-Erkennung und -Beendigung sowie Zugriffe auf Chromium-Webdaten überwacht werden. Diese Maßnahmen, zusammen mit einem vorsichtigen Downloadverhalten und einer gehärteten Browserkonfiguration, senken das Risiko einer erneuten Infektion erheblich.