ManualFinderApp es un instalador troyanizado recientemente observado que se presenta como un MSI legítimo de Windows. La muestra (hash: d0838244e7ebd0b4…) se atribuye a “ManualFinder” y fue firmada originalmente por GLINT SOFTWARE SDN. BHD., cuyo certificado ha sido revocado desde entonces. La ejecución suele ocurrir mediante una instalación silenciosa (msiexec /qn /i) y, a menudo, se inicia mediante una tarea programada en JavaScript que lanza node.exe para ejecutar un script con nombre de GUID desde %LOCALAPPDATA%\TEMP\.

Después de la instalación, se ha observado persistencia a través de tareas programadas y la ejecución de WScript desde el directorio temporal del usuario. La actividad consistente con spyware incluye la enumeración y cierre de navegadores, intentos de acceder a los “Web Data” de Chromium y consultas al registro para detectar productos de seguridad. La infraestructura de comando y control y distribución observada incluye mka3e8[.]com, y2iax5[.]com y portal[.]manualfinder[.]com.

El despliegue está vinculado a PUPs como OneStart, AppSuite-PDF/PDF Editor, con algunas variantes que cambian al modo infostealer después de una bandera de actualización como --cm=--fullupdate. Los síntomas visibles reportados por los usuarios incluyen ventanas cmd parpadeando, anomalías en el fondo de pantalla y ventanas emergentes engañosas. ManualFinderApp no es un componente de Windows y debe eliminarse de inmediato; los artefactos de persistencia y los ejecutables en rutas temporales deben tenerse en cuenta durante la limpieza.

Hemos comprobado que SpyHunter elimina con éxito ManualFinderApp* y recomendamos usarlo. Evitará que ManualFinderApp vuelva a instalarse y se asegurará de que tu dispositivo quede limpio de cualquier malware.

Prueba gratis 7 días*

o

Comprar ahora15% DESCUENTO si compras directamente sin prueba.

Protección anti-malware avanzada

Bloquea sitios web dañinos

Soluciones de malware personalizadas para ti

Evita la reinstalación

OFFER*Source de la afirmación de que SH puede eliminarlo. Prueba con tarjeta de crédito, sin cargo por adelantado; full terms.

Cómo eliminar el malware ManualFinderApp.exe

Comienza con un intento estándar de desinstalación. Debido a que ManualFinder se instala mediante MSI (msiexec /qn /i) y está vinculado a instaladores por lotes, puede haber una entrada en Aplicaciones y características/Programas. Si está presente, eliminarla es la resolución más directa y toma solo unos minutos. Aunque este paso puede fallar en algunos casos debido a la persistencia añadida o actualizaciones posteriores con “cambio de modo”, confirmar si existe un desinstalador registrado evita esfuerzos innecesarios de remediación.

Si el malware persiste, no entres en pánico: los pasos avanzados a continuación cubrirán una eliminación más profunda.

RESUMEN:

Nombre	ManualFinderApp
Tipo	Troyano
Herramienta de detección	Algunas amenazas se reinstalan por sí solas si no eliminas sus archivos principales. Recomendamos descargar SpyHunter para eliminar los programas dañinos para ti. Esto puede ahorrarle horas y asegurar que no dañe su sistema al eliminar los archivos equivocados. Descargar SpyHunter (Removedor Gratuito*) OFERTA * Removedor Gratuito le permite, sujeto a una espera de 48 horas, corregir y eliminar los resultados encontrados. EULA de SpyHunter, Política de Privacidad y más detalles sobre Removedor Gratuito.

Pasos avanzados para eliminar la app Manual Finder

Si ManualFinderApp está activo, genera artefactos observables que ayudan a su contención. Busca procesos en ejecución como ManualFinderApp.exe o node.exe ejecutando JavaScript con nombre GUID desde %TEMP%, instalaciones silenciosas recientes de msiexec para ManualFinder-v2.0.196.msi y conexiones a dominios como mka3e8[.]com. La actividad en vivo también incluye comprobaciones de navegador mediante PowerShell/WMI y posteriores comandos taskkill sobre Chrome/Edge para desbloquear los almacenes de credenciales. Investiga mientras estos indicadores estén presentes para acelerar el análisis.

Entendemos si no deseas usar software de terceros y, por lo general, intentamos que nuestras guías sean completamente “manuales”. Sin embargo, en este caso, podrías necesitar esta aplicación para eliminar ciertos archivos de malware, lo cual es una parte esencial del proceso de eliminación.

Pero no te preocupes, LockHunter no te pedirá dinero, no tiene anuncios y ni siquiera requiere registro. Puedes descargarlo e instalarlo en unos dos minutos.

Limpieza con el Administrador de Tareas: Finaliza procesos de ManualFinderApp

Eliminar malware casi siempre requiere una limpieza a fondo del Administrador de tareas. Debes examinar cuidadosamente los procesos en ejecución, identificar posibles procesos maliciosos y eliminarlos junto con sus datos. Los pasos a continuación te muestran cómo hacerlo.

Hemos comprobado que SpyHunter elimina con éxito ManualFinderApp* y recomendamos usarlo. Evitará que ManualFinderApp vuelva a instalarse y se asegurará de que tu dispositivo quede limpio de cualquier malware.

Prueba gratis 7 días*

o

Comprar ahora15% DESCUENTO si compras directamente sin prueba.

Protección anti-malware avanzada

Bloquea sitios web dañinos

Soluciones de malware personalizadas para ti

Evita la reinstalación

OFFER*Source de la afirmación de que SH puede eliminarlo. Prueba con tarjeta de crédito, sin cargo por adelantado; full terms.

Buscar y eliminar archivos maliciosos ManualFinder.exe

No des por hecho que la eliminación está completa tras borrar archivos evidentes. Esta campaña distribuye componentes en rutas temporales del usuario y puntos de persistencia, incluyendo tareas programadas que ejecutan node.exe y lanzamientos de WScript desde %TEMP%. Scripts residuales con nombres GUID (por ejemplo, …or.js/…of.js) o binarios en carpetas temporales pueden restaurar la funcionalidad. Es necesario revisar a fondo las ubicaciones temporales y los puntos de persistencia a nivel de usuario para evitar la reactivación.

Eliminar tareas programadas de ManualFinderApp en el Programador de tareas

Revisa las entradas del Programador de tareas configuradas por la cadena de instalación. Los sistemas afectados por esta actividad suelen contener tareas que minimizan cmd.exe e invocan node.exe para ejecutar un script JavaScript con nombre GUID desde %LOCALAPPDATA%\TEMP\, a veces usando nombres como sys_component_health_<GUID>. Estas tareas pueden reinstalar o relanzar ManualFinder después de una limpieza aparente. Identifica y elimina las tareas que hagan referencia a scripts en rutas temporales o a copias locales de node.exe ubicadas en %APPDATA%\NodeJs\ o %LOCALAPPDATA%\Programs\nodejs\.

Elimina entradas de ManualFinderApp del Registro de Windows

El paso de limpieza del Registro es importante, pero solo debes realizarlo si estás seguro de no eliminar algo que no deberías. En todos los demás casos, te recomiendo usar SpyHunter para que se encargue de esta tarea por ti. Ahora bien, si puedes hacer este paso tú mismo, esto es lo que necesitas hacer:

Una vez que hayas eliminado todo, reinicia tu PC. Observa el rendimiento y el comportamiento al iniciar para confirmar que la amenaza ha desaparecido.

¿Qué es ManualFinderApp.exe?

ManualFinder se clasifica mejor como un instalador troyanizado, no como un componente legítimo de Windows. Se distribuye a través de campañas publicitarias agresivas que promocionan utilidades “gratuitas” como PDF Editor/AppSuite-PDF y OneStart. En muchos casos, una tarea programada basada en JavaScript lanza node.exe desde un directorio del usuario para ejecutar un script con nombre GUID en %TEMP%, que luego realiza una instalación MSI silenciosa (por ejemplo, msiexec /qn /i ManualFinder-v2.0.196.msi). Aunque algunas muestras estaban firmadas digitalmente, especialmente por GLINT SOFTWARE SDN. BHD., ese certificado ha sido revocado, eliminando una señal clave de confianza.

Después de la instalación, la persistencia se mantiene comúnmente mediante el uso del Programador de tareas y ejecuciones de WScript desde rutas temporales del usuario. La actividad observada en los equipos afectados es coherente con el comportamiento de spyware/infostealer: enumeración y cierre de navegadores (Chrome/Edge), acceso a los datos web de Chromium, y exploración de ubicaciones del registro asociadas con productos de seguridad. Varios entornos afectados también informaron un conmutador de actualización (por ejemplo, --cm=--fullupdate) que convierte un editor PDF aparentemente inofensivo en un ladrón de información. La telemetría de red ha vinculado las infecciones con infraestructuras como mka3e8[.]com, y2iax5[.]com y portal[.]manualfinder[.]com. Las cronologías comunitarias registran un aumento en la actividad de distribución a partir del 17 de agosto de 2025 (15:00 UTC).

Los síntomas para el usuario pueden incluir apariciones breves de la consola cmd, anomalías en el fondo de pantalla y ventanas emergentes engañosas; al cerrar ManualFinderApp a menudo se cierra también la ventana maliciosa, pero las tareas programadas pueden relanzarla rápidamente. Dado su método de distribución, capacidades y modelo de persistencia, ManualFinder cumple con la definición práctica de un troyano. Los sistemas que muestren estos indicadores deben considerarse comprometidos y deben ser corregidos prestando especial atención a las tareas programadas, los scripts o binarios en rutas temporales y la cadena de instalación silenciosa que introdujo el archivo MSI en el equipo.

¿Cómo proteger tu sistema de ManualFinderApp en el futuro?

Reduce la exposición desde la fuente. No obtengas herramientas PDF o “buscadores de manuales” desde anuncios publicitarios o páginas de aterrizaje poco confiables; la campaña detrás de ManualFinder utilizó distribución basada en anuncios y instaladores empaquetados. Adquiere software directamente de proveedores en los que confíes y ten precaución con utilidades marcadas como AppSuite-PDF/PDF Editor/OneStart, ya que han estado implicadas en cadenas anteriores. Sé escéptico ante instaladores firmados digitalmente que provienen de anuncios; certificados revocados o emisores que rotan (como en el historial de GLINT) son señales de alerta.

Refuerza la capa del navegador utilizando prácticas que sean efectivas de forma general:

• Desactiva las descargas automáticas: En la configuración de tu navegador, activa la opción “preguntar siempre dónde guardar los archivos.” Esto previene descargas silenciosas en %TEMP% que luego se ejecutan vía msiexec /qn /i.
• Activa la seguridad mejorada: En navegadores basados en Chromium, habilita la protección mejorada y la opción Usar siempre conexiones seguras (las funciones equivalentes existen en otros navegadores). Controles más estrictos reducen el riesgo de redirecciones maliciosas o ataques tipo «drive-by».
• Instala un bloqueador de anuncios: Los bloqueadores de calidad eliminan ventanas emergentes y redirecciones maliciosas, reduciendo la exposición a las rutas de infección usadas en esta campaña.

Para organizaciones, añade mecanismos de alerta basados en el comportamiento observado: generar alertas si node.exe ejecuta archivos .js con nombres GUID desde rutas temporales de usuario; si se crean tareas programadas que llamen a Node.js desde %APPDATA%\NodeJs\ o %LOCALAPPDATA%\Programs\nodejs\; si se realizan instalaciones silenciosas con msiexec desde %TEMP%; o si hay conexiones salientes o búsquedas DNS hacia dominios de campaña como mka3e8[.]com, y2iax5[.]com o portal[.]manualfinder[.]com. Siempre que sea posible, monitoriza patrones de enumeración o cierre de navegadores y accesos a “Web Data” de Chromium. Estos controles, combinados con hábitos de descarga más conservadores y una mayor seguridad en el navegador, reducen considerablemente la probabilidad de volver a encontrarse con ManualFinder.