Hoax: JDBGMGR.EXE
Die Datei gehört zum Internet Explorer, aber...
Eine Falschmeldung gefährdet die Existenz einer harmlosen Windows-Datei
namens JDBGMGR.EXE. Einige Versionen dieser Falschmeldung (Hoax) enthalten
Tippfehler beim Dateinamen (z.B.: 'jdbmgr.exe'), andere nennen auch noch
SETDEBUG.EXE (die tatsächlich das gleiche Symbol hat!). Es wird behauptet,
die Datei enthalte einen Virus und wenn man sie auf seinem Rechner findet,
solle man sie löschen. Eine Anleitung, wie man die Datei finden und löschen
kann, wird meist auch gleich mitgeliefert.Davon muss dringend abgeraten
werden!
Die Datei JDBGMGR.EXE enthält den Microsoft Debugger Registrar for Java und
gehört zum MS Internet Explorer. Sie ist auf nahezu jedem Windows-PC
vorhanden.
Die Existenz dieser Datei auf einem Rechner ist kein Indiz für eine
Virusinfektion! Das oben abgebildetete Icon ist das Original-Symbol zu dieser
Datei.
Es ist auch kein Anzeichen für einen Virus, wenn die Datei sich nicht löschen
lässt bzw. nach jedem Neustart von Windows wieder da ist. Der
Systemdateischutz von Windows (ab Windows 98SE) stellt die gelöschte Datei
stets wieder her, weil sie von Microsoft als wichtig für das System angesehen
wird.
Ähnliche Fälle, nur andere Dateinamen: <A HREF="Technische Universität Berlin, UPWIZUN.EXEEine völlig
andere Situation ergibt sich, wenn eine Datei dieses Namens per E-Mail
eintrifft und dies hat wohl den Hoax ausgelöst.
Der Virus W32/Magistr (steht in der <A HREF="Technische Universität Berlin aktueller Viren</A>) infiziert
Systemdateien (vor allem .EXE) und versendet diese dann per E-Mail. Dabei
kopiert er das Original der Datei vorher in eine zweite Datei, deren Namen er
modifiziert: Er ändert das letzte Zeichen des Namens, verringert den
Zeichencode um 1. D.h. aus SULFNBK.EXE wird SULFNBJ.EXE, aus PSTORES.EXE wird
PSTORER.EXE, aus CFGWIZ32.EXE wird CFGWIZ31.EXE usw. Er versendet jedoch die
infizierte Datei mit dem Originalnamen. Die umbenannte Kopie ist ebenfalls
infiziert.Es ist wichtig, dass Sie den Unterschied zwischen diesen beiden
Fällen verstehen.
Löschen Sie keinesfalls eine Datei JDBGMGR.EXE, die Sie auf Ihrem Rechner
finden, wenn nicht ein Virenscanner eine Infektion dieser Datei meldet!Wenn
Sie die Datei bereits gelöscht haben, stellen Sie sie nur von der
Original-Windows-CD bzw. den Original-Installationsarchiven des Internet
Explorers oder der Java Virtual Machine (Microsoft VM) wieder her. Beim
Kopieren von einem anderen Rechner riskieren Sie (ganz allgemein), Ihren
bislang virenfreien Rechner zu infizieren oder eine falsche Version der Datei
zu kopieren (andere VM-Version).Wiederherstellung der gelöschten DateiIm
günstigsten Fall stellt der Systemdateischutz die gelöschte Datei beim
nächsten Neustart automatisch wieder her (Windows ME und 2000).
Wenn dies nicht nicht geschieht, Sie die Datei aber nur in den
Windows-Papierkorb verschoben haben, öffnen Sie den Papierkorb, markieren Sie
die Datei und wählen Sie im Menü 'Datei' die Option 'Wiederherstellen'.
Haben Sie die Datei auf eine Diskette (oder sonst wohin, wo Sie sie
wiederfinden) verschoben, können Sie sie mit dem Explorer wieder an ihren
angestammten Platz kopieren. Dieser befindet sich bei Windows 95/98/ME
normalerweise in C:\Windows\System, bei Windows NT/2000/XP in
C:\Winnt\System32. Passen Sie diese Angabe sinngemäß an, falls Windows in
einem anderen Verzeichnis und/oder auf einem anderen Laufwerk installiert
ist.Die Datei ist weg
Die einfachste Möglichkeit zur Wiederherstellung der Datei ist eine
Neuinstallation des Internet Explorers. Sie führt jedoch nicht in allen
Fällen zum gewünschten Ergebnis. Wenn Sie schonmal dabei sind, installieren
Sie mind. <A HREF="Technische Universität Berlin Explorer</A> 5.5 Service Pack 2 (IE 5.5 SP2) und installieren
Sie danach gleich noch das <A HREF="Technische Universität Berlin Sicherheitsupdate vom 15.05.2002</A>. Damit
schließen Sie gleich noch ein paar z.T. schwerwiegende Sicherheitslöcher
älterer IE-Versionen.
Die etwas weniger aufwändige Ersatzmöglichkeit (oder falls die
Neuinstallation des IE nicht den gewünschten Erfolg bringt) ist die
Neuinstallation der Java-VM. Auch hierbei sollten Sie die Gelegenheit nutzen,
die neueste Version zu installieren, da ältere Versionen Sicherheitslücken
aufweisen, die mit dem <A HREF="http://www.microsoft.com/java/vm/dl_vm40.htm">Build 3805 vom 04.03.2002</A> beseitigt wurden (es gibt
inzwischen neuere Versionen der Java-VM). Microsoft empfiehlt diese
Vorgehensweise für Windows 95/98/NT/XP.Hinweis zur Reihenfolge:
Wenn Sie diese Sache angehen, planen Sie so, dass Sie die sinnvollste
Installationsreihenfolge einhalten:
IE 5.5 SP2 (oder IE 6.0)
Java-VM (Build 3805)
Sicherheitsupdate für IE 5.x/6.0 Warum? Weil dies die Reihenfolge ist, die
sich aus dem Erscheinungsdatum ergibt. Sie stellen damit einigermaßen sicher,
dass nicht gerade installierte neuere Dateien wieder durch ältere Versionen
überschrieben werden. Es wird ausdrücklich empfohlen alle Schritte (1 - 3) in
jedem Fall durchzuführen, um massive Sicherheitslöcher im Internet Explorer
und in Outlook Express zu stopfen. Lassen Sie Schritt 1 nur aus, falls Sie
bereits IE 5.5 SP2 oder neuer installiert haben.Wiederherstellung für
Fortgeschrittene
Wenn Sie ein vollständiges Installationsverzeichnis oder -archiv Ihrer
Version des Internet Explorers haben oder wie oben den IE 5.5 SP2 installiert
haben, ohne dass die gelöschte Datei nun wieder da wäre, können Sie die Datei
auch manuell aus den CAB-Archiven des Internet Explorers extrahieren. Unter
den diversen Dateien, die zusammen das Installationsverzeichnis des IE
bilden, befindet sich ein Archiv VMX86_02.CAB. Dieses enthält wiederum ein
Archiv JAVABASE.CAB, in dem schlussendlich u.a. die Datei JDBGMGR.EXE
versteckt ist. Die Datei SETDEBUG.EXE (sie hat das gleiche 'Teddybär'-Symbol)
findet sich hingegen in der Archivdatei JAVAX86.CAB, die in dem Archiv
VMX86_01.CAB enthalten ist.
Mit dem Programm EXTRACT (bzw. EXPAND) von der Windows-CD oder einem der
üblichen ZIP-Archiver können Sie die Datei extrahieren und an ihren
angestammten Platz kopieren. Dieser befindet sich bei Windows 95/98/ME
normalerweise in C:\Windows\System, bei Windows NT/2000/XP in
C:\Winnt\System32. Passen Sie diese Angabe sinngemäß an, falls Windows in
einem anderen Verzeichnis und/oder auf einem anderen Laufwerk installiert
ist.Fazit:
Es ist reiner Zufall, dass es eine so unwichtige Datei getroffen hat. Bei dem
gegebenen Hintergrund der Entstehung dieses Hoax hätte es auch leicht eine
weniger entbehrliche Datei erwischen können...
Dieser Hoax ist eine Abwandlung der schon länger bekannten und ebenso <A HREF="Technische Universität Berlin;
falschen Warnung vor der Datei SULFNBK.EXE</A>.