fz-Home




Sicherheit im Web
Antivirus
sog. E-Mail-Viren (Hoaxes)


Software
Java / JS
Microsoft
Win 32
Win 3.1x
macOS
Unix
Amiga
OS/2, Atari, NeXT,...
Hoax-Liste
Extra-Blätter
  © Frank Ziemann  –  Update: 02.09.2009
 Hoax-Info   Hoax-Liste   Weblog   Extra-Blätter   Sicherheits-Updates   E-Mail Hilfe   Presse 

Extra-Blatt (26.04.2002)

Hoax: JDBGMGR.EXE Original-Icon

Die Datei gehört zum Internet Explorer, aber...

Eine Falschmeldung gefährdet die Existenz einer harmlosen Windows-Datei namens JDBGMGR.EXE. Einige Versionen dieser Falschmeldung (Hoax) enthalten Tippfehler beim Dateinamen (z.B.: jdbmgr.exe, jdbgm.exe, jdbg.exe), andere nennen auch noch SETDEBUG.EXE (diese Datei hat tatsächlich das gleiche Symbol!). Es wird behauptet, die Datei enthalte einen Virus, den Antivirus-Software nicht erkennen könne und wenn man sie auf seinem Rechner finde, solle man sie löschen. Eine Anleitung, wie man die Datei finden und löschen kann, wird meist auch gleich mitgeliefert.

Davon muss dringend abgeraten werden!
Die Datei JDBGMGR.EXE enthält den Microsoft Debugger Registrar for Java und gehört zum MS Internet Explorer. Sie ist auf nahezu jedem Windows-PC vorhanden.
Die Existenz dieser Datei auf einem Rechner ist kein Indiz für eine Virusinfektion! Das oben abgebildetete Icon ist das Original-Symbol zu dieser Datei.
Es ist auch kein Anzeichen für einen Virus, wenn die Datei sich nicht löschen lässt bzw. nach jedem Neustart von Windows wieder da ist. Der Systemdateischutz von Windows (ab Windows 98SE) stellt die gelöschte Datei stets wieder her, weil sie von Microsoft als wichtig für das System angesehen wird.
Ähnliche Fälle, nur andere Dateinamen: SULFNBK.EXE, UPWIZUN.EXE

Eine völlig andere Situation ergibt sich, wenn eine Datei dieses Namens per E-Mail eintrifft und dies hat wohl den Hoax ausgelöst.
Der Virus W32/Magistr (steht in der Liste aktueller Viren) infiziert Systemdateien (vor allem .EXE) und versendet diese dann per E-Mail. Dabei kopiert er das Original der Datei vorher in eine zweite Datei, deren Namen er modifiziert: Er ändert das letzte Zeichen des Namens, verringert den Zeichencode um 1. D.h. aus SULFNBK.EXE wird SULFNBJ.EXE, aus PSTORES.EXE wird PSTORER.EXE, aus CFGWIZ32.EXE wird CFGWIZ31.EXE usw. Er versendet jedoch die infizierte Datei mit dem Originalnamen. Die umbenannte Kopie ist ebenfalls infiziert.

Es ist wichtig, dass Sie den Unterschied zwischen diesen beiden Fällen verstehen.
Löschen Sie keinesfalls eine Datei JDBGMGR.EXE, die Sie auf Ihrem Rechner finden, wenn nicht ein Virenscanner eine Infektion dieser Datei meldet!

Wenn Sie die Datei bereits gelöscht haben, stellen Sie sie nur von der Original-Windows-CD bzw. den Original-Installationsarchiven des Internet Explorers oder der Java Virtual Machine (Microsoft VM) wieder her. Beim Kopieren von einem anderen Rechner riskieren Sie (ganz allgemein), Ihren bislang virenfreien Rechner zu infizieren oder eine falsche Version der Datei zu kopieren (andere VM-Version).

Wiederherstellung der gelöschten Datei

Im günstigsten Fall stellt der Systemdateischutz die gelöschte Datei beim nächsten Neustart automatisch wieder her (Windows ME und XP).
Wenn dies nicht nicht geschieht, Sie die Datei aber nur in den Windows-Papierkorb verschoben haben, öffnen Sie den Papierkorb, markieren Sie die Datei und wählen Sie im Menü 'Datei' die Option 'Wiederherstellen'.
Haben Sie die Datei auf eine Diskette (oder sonst wohin, wo Sie sie wiederfinden) verschoben, können Sie sie mit dem Explorer wieder an ihren angestammten Platz kopieren. Dieser befindet sich bei Windows 95/98/ME normalerweise in C:\Windows\System, bei Windows NT/2000/XP in C:\Winnt\System32. Passen Sie diese Angabe sinngemäß an, falls Windows in einem anderen Verzeichnis und/oder auf einem anderen Laufwerk installiert ist.

Die Datei ist weg
Bei Windows ME und XP können Sie die Systemwiederherstellung aufrufen. Wählen Sie den Wiederherstellungspunkt, der am Nächsten vor dem Löschen der Datei liegt.
Ansonsten wäre die einfachste Möglichkeit zur Wiederherstellung der Datei eine Neuinstallation des Internet Explorers. Sie führt jedoch oft nicht zum gewünschten Ergebnis.
Wenn Sie schonmal dabei sind, installieren Sie mind. Internet Explorer 5.5 Service Pack 2 (IE 5.5 SP2) und installieren Sie danach gleich noch das aktuelle kumulative Sicherheitsupdate. Damit schließen Sie gleich noch ein paar z.T. schwerwiegende Sicherheitslöcher älterer IE-Versionen.
Die etwas weniger aufwändige Ersatzmöglichkeit (oder falls die Neuinstallation des IE nicht den gewünschten Erfolg bringt) ist die Neuinstallation der Java-VM. Auch hierbei sollten Sie die Gelegenheit nutzen, die neueste Version zu installieren, da ältere Versionen Sicherheitslücken aufweisen, die mit dem Build 3805 vom 04.03.2002 beseitigt wurden (es gibt inzwischen neuere Versionen der Java-VM). Microsoft empfiehlt diese Vorgehensweise für Windows 95/98/NT/XP.

Hinweis zur Reihenfolge:
Wenn Sie diese Sache angehen, planen Sie so, dass Sie die sinnvollste Installationsreihenfolge einhalten:

  1. IE 5.5 SP2 (oder IE 6.0)
  2. Java-VM (Build 3805 oder neuer)
  3. Sicherheitsupdate für IE 5.x/6.0
Warum? Weil dies die Reihenfolge ist, die sich aus dem Erscheinungsdatum ergibt. Sie stellen damit einigermaßen sicher, dass nicht gerade installierte neuere Dateien wieder durch ältere Versionen überschrieben werden. Es wird ausdrücklich empfohlen alle Schritte (1 - 3) in jedem Fall durchzuführen, um massive Sicherheitslöcher im Internet Explorer und in Outlook Express zu stopfen. Lassen Sie Schritt 1 nur aus, falls Sie bereits IE 5.5 SP2 oder neuer installiert haben.
Beachten Sie bitte diesen Hinweis zur Java-VM.

Wiederherstellung für Fortgeschrittene
Wenn Sie ein vollständiges Installationsverzeichnis oder -archiv Ihrer Version des Internet Explorers haben oder wie oben den IE 5.5 SP2 installiert haben, ohne dass die gelöschte Datei nun wieder da wäre, können Sie die Datei auch manuell aus den CAB-Archiven des Internet Explorers extrahieren. Unter den diversen Dateien, die zusammen das Installationsverzeichnis des IE bilden, befindet sich ein Archiv VMX86_02.CAB. Dieses enthält wiederum ein Archiv JAVABASE.CAB, in dem schlussendlich u.a. die Datei JDBGMGR.EXE versteckt ist. Die Datei SETDEBUG.EXE (sie hat das gleiche 'Teddybär'-Symbol) findet sich hingegen in der Archivdatei JAVAX86.CAB, die in dem Archiv VMX86_01.CAB enthalten ist.
Mit dem Programm EXTRACT (bzw. EXPAND) von der Windows-CD oder einem der üblichen ZIP-Archiver können Sie die Datei extrahieren und an ihren angestammten Platz kopieren. Dieser befindet sich bei Windows 95/98/ME normalerweise in C:\Windows\System, bei Windows NT/2000/XP in C:\Winnt\System32. Passen Sie diese Angabe sinngemäß an, falls Windows in einem anderen Verzeichnis und/oder auf einem anderen Laufwerk installiert ist.

Fazit:
Es ist reiner Zufall, dass es eine so unwichtige Datei getroffen hat. Bei dem gegebenen Hintergrund der Entstehung dieses Hoax hätte es auch leicht eine weniger entbehrliche Datei erwischen können...
Dieser Hoax ist eine Abwandlung der schon länger bekannten und ebenso falschen Warnung vor der Datei SULFNBK.EXE.

Leiten Sie diese Falschmeldung (Hoax) nicht weiter!

ext. LinkWeitere Infos zu diesem Hoax:
dt.Microsoft | McAfee | dt.Sophos | Symantec

ext. LinkInfos zum Virus W32/Magistr.a:
CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | dt.Sophos | Symantec | dt.Trend Micro


zurück zur Hoax-Seite | zurück zur Hoax-Liste | zurück zur Viren-Liste