JDBGMGR.EXE was ist das? Virus?

Faxe_428bb6 · 14. Mai 2002 um 22:51

Ich habe eine E-Mail bekommen mit dem folgenden, verkürzten Inhalt:

Ihr Computer enthält einen Virus mit dem Namen „JDBGMGR.EXE“, diese befindet sich in C:\WINNT\system32 Dieser ist noch inaktiv und wird erst in 14 aktiv und man solle sie schnell löschen ohne sie zu starten.

Ich schaute gleich nach, und ich fand sie tatsächlich, was mich sehr wunderte, weil ich noch nie einen Virus aktiv auf meinem Gerät hatte.

Ich glaube sehr, daß dies eine Hoax ist, vielleicht kann mir jemand erklären, was diese Datei wirklich ist.

Schöne Grüße, Faxe…

Hier noch der Orginaltext der Email, die ich bekommen habe:

> > Subject: Fwd: Achtung Wichtig !!! Bitte genau lesen!!!

> > > W I C H T I G
> > > == == == =
> > > Wir sind informiert worden, dass unser Computer von dem Virus
> jdbgmgr.exe
> > > infiziert worden ist, der sich per e-mail automatisch ausbreitet, da
er
> > sich
> > > im e-mail Adressbuch versteckt. Er kann nicht mit Norton oder McAfee
> > > Antivirus entdeckt werden, und bleibt 14 Tage inaktiv, bevor er das
> > > komplette Computer-System beschädigt.
> > > Er kann aber gelöscht werden, bevor er Ihre Daten beschädigt.
> > > Bitte gehen Sie wie folgt vor:
> > > KLICKEN SIE AUF " START "
> > > KLICKEN SIE AUF " SUCHEN " UND SUCHEN SIE DIE DATEI: JDBGMGR.EXE
> > > VERGEWISSERN SIE SICH, DASS IN C:\ GESUCHT WIRD
> > > KLICKEN SIE AUF " SUCHEN "
> > > WENN IHR PC DEN VIRUS GEFUNDEN HAT (ES HAT EIN KLEINES BÄREN-SYMBOL)
> > > BITTE NICHT ÖFFNEN !!!
> > > KLICKEN SIE MIT DER RECHTE MOUSE-TASTE AUF DAS KLEINE BÄREN-SYMBOL UND
> > > WÄHLEN SIE " LÖSCHEN " (DER VIRUS WIRD IN DEN ORDNER " PAPIERKORB "
> > > VERSCHOBEN)
> > > KLICKEN SIE MIT DER RECHTEN MOUSE-TASTE AUF DEN PAPIERKORB UND WÄHLEN
> SIE
> > > " PAPIERKORB LEEREN ".
> > > WENN SIE DEN VIRUS AUF IHREM COMPUTER GEFUNDEN HABEN, SCHICKEN SIE
DIESE
> > > MITTEILUNG SCHNELLSTMÖGLICH AN ALLE ADRESSEN IN IHREM E-MAIL PROGRAMM
> > > MFG

Achim · 14. Mai 2002 um 23:02

Hoax !
Hi Faxe !

Ja - Hoax… wieder mal.

Gruß - Achim

oliver_ac969e · 14. Mai 2002 um 23:10

Hallo,

hier kannst du immer mal wieder nachlesen:

http://www.tu-berlin.de/www/software/hoax.shtml

Gruß olli

Faxe_428bb6 · 14. Mai 2002 um 23:33

Was kann passieren?
Was kann passieren, wenn ich diese lösche? Ich habe sie noch nicht gelöscht, aber der Kollege, der mir die E-Mail weitergeleitet hat, der hat sie bestimmt gelöscht.

oliver_ac969e · 14. Mai 2002 um 23:38

Eine Falschmeldung gefährdet die Existenz einer harmlosen Windows-Datei namens JDBGMGR.EXE. Einige Versionen dieser Falschmeldung (Hoax) enthalten einen Tippfehler beim Dateinamen (‚jdbmgr.exe‘), andere nennen auch noch SETDEBUG.EXE. Es wird behauptet, die Datei enthalte einen Virus und wenn man sie auf seinem Rechner findet, solle man sie löschen. Eine Anleitung, wie man die Datei finden und löschen kann, wird meist auch gleich mitgeliefert.

Davon muss dringend abgeraten werden!
Die Datei JDBGMGR.EXE enthält den Microsoft Debugger Registrar for Java und gehört zum MS Internet Explorer.
Die Existenz dieser Datei auf einem Rechner ist kein Indiz für eine Virusinfektion!
Ähnliche Fälle, nur andere Dateinamen: SULFNBK.EXE, UPWIZUN.EXE

Eine völlig andere Situation ergibt sich, wenn eine Datei dieses Namens per E-Mail eintrifft und dies hat wohl den Hoax ausgelöst.
Der Virus W32/Magistr (steht in der Liste aktueller Viren) infiziert Systemdateien (vor allem .EXE) und versendet diese dann per E-Mail. Dabei kopiert er das Original der Datei vorher in eine zweite Datei, deren Namen er modifiziert: Er ändert das letzte Zeichen des Namens, verringert den Zeichencode um 1. D.h. aus SULFNBK.EXE wird SULFNBJ.EXE, aus PSTORES.EXE wird PSTORER.EXE, aus CFGWIZ32.EXE wird CFGWIZ31.EXE usw. Er versendet jedoch die infizierte Datei mit dem Originalnamen. Die umbenannte Kopie ist ebenfalls infiziert.

Es ist wichtig, dass Sie den Unterschied zwischen diesen beiden Fällen verstehen.
Löschen Sie keinesfalls eine Datei JDBGMGR.EXE, die Sie auf Ihrem Rechner finden, wenn nicht ein Virenscanner eine Infektion dieser Datei meldet!

Wenn Sie die Datei bereits gelöscht haben, stellen Sie sie nur von der Original-Windows-CD bzw. den Original-Installationsarchiven des Internet Explorers oder der Java Virtual Machine (Microsoft VM) wieder her. Beim Kopieren von einem anderen Rechner riskieren Sie, Ihren bislang virenfreien Rechner zu infizieren oder eine falsche Version der Datei zu kopieren (andere VM-Version).

Wiederherstellung der gelöschten Datei
Die einfachste Möglichkeit zur Wiederherstellung der Datei ist eine Neuinstallation des Internet Explorers. Wenn Sie schon dabei sind, installieren Sie mind. Internet Explorer 5.5 Service Pack 2 (IE 5.5 SP2) und installieren Sie danach gleich noch das kumulative Sicherheitsupdate vom 28.03.2002. Damit schließen Sie gleich noch ein paar Sicherheitslücken.
Die etwas weniger aufwändige Ersatzmöglichkeit (oder falls die Neuinstallation des IE nicht den gewünschten Erfolg bringt) ist die Neuinstallation der Java-VM. Auch hier sollten Sie allerdings die Gelegenheit nutzen, die neueste Version zu installieren, da ältere Versionen Sicherheitslücken aufweisen, die mit dem Build 3805 vom 04.03.2002 beseitigt wurden.

Fazit:
Es ist reiner Zufall, dass es eine so unwichtige Datei getroffen hat. Bei dem gegebenen Hintergrund der Entstehung dieses Hoax hätte es auch leicht eine weniger entbehrliche Datei erwischen können…
Dieser Hoax ist eine Abwandlung der schon länger bekannten ebenso falschen Warnung vor der Datei SULFNBK.EXE

Leiten Sie diese Falschmeldung (Hoax) nicht weiter!