Noch eine DVD-FAQ: Grundlagenwissen

Wohlgemerkt: Dieser FAQ-Eintrag beschreibt nicht, wie man eine Kopiersperre umgeht, sondern nur, woran man die potenziell gefährliche PC-Komponente von Alpha-DVD erkennt und wie man sie gegebenenfalls entfernen kann.

Alpha-DVD ist eine Kopiersperre für Video-DVDs, die vom koreanischen Hersteller Settec stammt. In der Version 1.0.3.5 besteht die Kopiersperre aus zwei Teilen, von denen die zweite optional ist.

• Alpha-Disc: absichtlich defekte Sektoren auf dem Medium. Ein DVD-Player bekommt im Normalfall nichts davon mit, weil er sich nicht an den Sektoren entlang hangelt, sondern den IFO-Indexdateien folgt. Kopier-Werkzeuge beißen sich an defekten Sektoren dagegen die Zähne aus (sofern sie nicht ebenfalls den IFO-Indexen folgen).
• Alpha Agent: ein Windows-Treiber mit Tarnkappenfunktion, der aus drei Komponenten besteht: einer klitzekleinen DAT-Datei, einer EXE-Datei mit wechselndem Namen und einer DLL, deren Aufgabe es ist, die EXE vor dem System zu verstecken.

Alpha Agent zielt darauf ab, Kopien der geschützten DVD zu verhindern. Bisher sind zwei deutsche Video-DVDs bekannt, die mit Alpha-DVD geschützt werden. Beide Titel stammen von der Kinowelt GmbH.

• Edison: Polizeithriller mit Kevin Spacey und Justin Timberlake (doch, dem Justin Timberlake). Hier werden nur defekte Sektoren eingesetzt.
• Mr. & Mrs. Smith: Action-Komödie mit Angelina Jolie und Brad Pitt. Hier sind sowohl defekte Sektoren zu finden als auch der Alpha-Agent (Alpha-DVD 1.0.3.5).

In der vollen Ausbaustufe hat Alpha-DVD 1.0.3.5 folgende Nebenwirkungen:

• Beeinträchtigung von Brennvorgängen, unabhängig vom zu brennenden Material
• Verlangsamung von Brennvorgängen bei manchen Brennern
• stellt Tarnkappenfunktion auch anderen Anwendungen zur Verfügung

Alpha-DVD erkennen

Woran erkennt man, dass Alpha-DVD auf dem PC installiert ist? Zunächst einmal hinterlässt die Software keinen Deinstallationseintrag unter "Systemsteuerung/Software" und versteckt sich im laufenden Betrieb vor dem Windows-eigenen Task-Manager. Es gibt aber mehrere sichere Indizien, dass die Settec-Sperre auf dem Windows-PC installiert ist:

• ein Eintrag in der Registrierungsdatenbank unter [HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\ Windows\CurrentVersion\ policies\Explorer\Run] mit dem Schlüsselnamen "SystemManager". Dessen Wert ist ein Programm im Windows-Unterverzeichnis "system32". Der Programmname ist stets ein anderer (siehe unten).
• das Vorhandensein einer Datei "hadl.dll" im Windows-Unterverzeichnis "system32" (%windir%\system32). Die Datei ist 348 KByte groß (356 352 Bytes), trägt die Versionsnummer 1.0.3.5 und nennt in den Eigenschaften weder Hersteller noch Zweck.
• das Vorhandensein einer Datei "cmtl.dat" im Windows-Unterverzeichnis "system32" (s.o.). Diese Datei ist 2,5 KByte klein (2596 Bytes).
• das Vorhandensein einer Datei mit wechselndem Namen im selben Verzeichnis, die immer 808 KByte (827 392 Bytes) groß ist, angeblich von "MS Corp." stammt und als "System PTHelper" beschrieben wird. Die Datei trägt ebenfalls die Versionsnummer 1.0.3.5. Ihr Name lautet bei jeder Installation anders. Bekannte Bezeichnungen sind u.a. avsys.exe, bootvid.exe, dmdmgr.exe, msauite.exe, mscomc.exe, msxhtml.exe, systemprop.exe, tmpagt.exe und win32k2.exe.

Mit Zusatzwerkzeugen kann man zudem feststellen, ob Alpha-DVD nicht nur installiert, sondern auch aktiv ist.

Alpha-DVD entfernen

Wie wird man den ungebetenen Gast wieder los? Die einfachste Methode: den Uninstaller von Settec herunterladen und aufrufen. Schwuppdiwupp, weg. Eventuell noch einen Reboot durchführen, dann ist auf jeden Fall Ruhe. Die aktuelle Betaversion von F-Secure Blacklight findet und deaktiviert Alpha-DVD ebenfalls.

• Settec: Download-Seite für Alpha-DVD Uninstaller
• F-Secure: Download-Seite für Blacklight (die Beta ist derzeit gratis)

Echte Männer wollen aber selbst Hand anlegen. Und vielleicht steht der Uninstaller ja in ein paar Jahren nicht mehr bereit. Also hier die per-Hand-Version für die Ewigkeit.

Zunächst sollten Sie folgende Tools von SysInternals herunterladen und entpacken: Filemon, Process Explorer und PsKill. Diese drei Programme stellen unser OP-Besteck dar.

• Filemon: protokolliert alle laufenden Dateiaktivitäten
• Process Explorer: protokolliert alle laufenden Prozesse (sieht Alpha-DVD aber nicht, dazu später mehr)
• PsKill: Kommandozeilenprogramm zur Beendigung laufender Prozesse

Sollten diese Werkzeuge irgendwann nicht mehr verfügbar sein, kann man auch auf andere mit demselben Funktionsumfang ausweichen. Im Notfall reicht sogar ein beliebiges Kommandozeilenprogramm zum Beenden des versteckten Prozesses und der Windows-Task-Manager.

Im Folgenden gehe ich davon aus, dass Sie sich gut mit Windows-Interna auskennen und somit wissen, auf was Sie sich einlassen. Sollten Sie sich im Folgenden etwas unsicher fühlen, nehmen Sie lieber den Settec-Uninstaller. Per Hand zu machende Eingaben stehen stets in "Anführungsstrichen". Die Anführungsstriche bitte nicht eingeben, nur die dazwischen befindlichen Zeichen!

1. Rufen Sie den Registrierungs-Editor von Windows auf.
   Start > Ausführen > "regedit"
2. Suchen Sie mit dem Registrierungs-Editor nach der Zeichenfolge "SystemManager".
   Bearbeiten > Suchen > Suchen nach: "SystemManager"
3. Notieren Sie den Wert dieses Schlüssels. Die Kopiersperre erhält bei jeder Installation einen anderen Namen. Diese Bezeichnungen ähneln denen von Windows-Systemdateien (siehe oben). Ich gehe im Folgenden davon aus, dass der Eintrag "C:\WINDOWS\system32\bootvid.exe" heißt. Beenden Sie den Registrierungs-Editor (Sie können den Wert jetzt noch nicht nicht dauerhaft löschen).
4. Rufen Sie auf der Kommandozeile das Programm PsKill auf. Ich gehe jetzt mal davon aus, dass Sie auf dem Systemlaufwerk einen Ordner namens "alphaweg" erstellt haben und die oben genannten Programme dorthin entpackt haben.
   Start > Ausführen > "cmd"
   In der Kommandozeile eingeben: "cd \alphaweg", Eingabetaste drücken.
   In der Kommandozeile eingeben: "pskill -t bootvid.exe" -- wobei Sie anstelle von "bootvid.exe" den Namen eingeben, den Sie in Schritt 3 notiert haben. Eingabetaste drücken. Bei Erfolg meldet pskill: "2 processes named bootvid.exe killed."
5. Schließen Sie die Kommandozeile mit "exit", Eingabetaste drücken.
6. Starten Sie den Process Explorer (procexp.exe) im Verzeichnis "alphaweg". Aktivieren Sie die Option "Show Lower Pane".
   View > Show Lower Pane
7. Lassen Sie das Programm jetzt nach "hadl.dll" suchen. Diese Laufzeitbibliothek stellt die Tarnkappenfunktion bereit.
   Find > Find Handle or DLL > Handle or DLL substring: "hadl.dll"
8. Doppelklicken Sie auf das erste Ergebnis. Der Prozess wird im Hauptfenster angezeigt. Klicken Sie mit der rechten Maustaste auf den Prozess. Wählen Sie aus dem Kontextmenü die Option "Kill Process Tree" und bestätigen Sie den folgenden Dialog mit "Ja".
9. Sollte wider Erwarten ein Dialog erscheinen, dass Windows sich jetzt gleich herunterfahren wird, brechen Sie diesen Vorgang mit dem Befehl "shutdown /a" ab.
   Start > Ausführen > "shutdown /a"
10. Wiederholen Sie Schritte 7 und 8, bis die Suchfunktion keine "hadl.dll" mehr findet.
11. Löschen Sie die Dateien "bootvid.exe" (oder wie Sie auch immer diesmal heißt), "cmtl.dat" und "hadl.dll" aus dem Windows-Unterverzeichnis system32.
12. Rufen Sie den Registrierungs-Editor ein zweites Mal auf und suchen Sie nach der Zeichenfolge "SystemManager" (siehe Schritte 1 und 2). Löschen Sie den Schlüssel mit der Entf-Taste. Bestätigen Sie die Rückfrage "Möchten Sie diesen Wert wirklich löschen?" mit "Ja".
13. Schließen Sie den Registrierungs-Editor und starten Sie Ihren Rechner neu.

Mit Filemon können Sie sicherstellen, dass Ihr System jetzt "sauber" ist. Wichtig: Brechen Sie nach spätestens einer Minute die Protokollierung mit einem Klick auf das Lupensymbol ab. Sehen Sie dann nach, ob irgendwelche Anwendungen ständig damit beschäftigt sind, per QUERY INFORMATION nach ASPI-Treibern zu suchen. Alpha-DVD sucht nach den Dateien "wnaspi32.dll", "asapi.dll" und "elbycdio.dll". Gibt es keine solchen Prozesse mehr, ist die Entfernung von Alpha-DVD gelungen.

Alpha-DVD 1.0.4.0 lässt sich etwas einfacher entfernen: "settecalphadisc.exe" im Task-Manager unter "Prozesse" per Kontextmenü beenden, den Run-Eintrag in der Registrierungsdatenbank löschen (SystemManager=C:\WINDOWS\system32\settecalphadisc.exe"), Rechner neu starten, Dateien "settecalphadisc.exe", "cmtl.dat" und "hadl.dll" aus dem Windows-Unterverzeichnis löschen (wie in Schritt 12 oben). Oder den Uninstaller von Settec herunterladen (siehe oben).

• MS Knowledgebase zum Thema DVD
• Adaptives Deinterlacing, Vor- und Nachteile
• Eine Deinterlacing-Demo
• Prioritäten bei der DVD-Wiedergabe
• Ruckler durch falsche Bildwiederholraten
• Deinterlacing: So werden halbierte Bilder wieder ganz
• Grundlagen zum Regionalcode
• Regionalcode zurücksetzen
• Was ist DeCSS und wo finde ich es?
• Ist CSS eine Kopiersperre oder eine Wiedergabesperre?
• Kann ich eine DVD-Video über das Netzwerk ansehen?
• Ist der Handel mit US-DVDs in Deutschland legal?
• Die Unterschiede zwischen NTSC und PAL
• Tipps zum gezielten DVD-Troubleshooting
• Verweise zu anderen DVD-Sites
• DVD-FAQ - Überblick
• "Wiedergekäutes aus dem Web" zum Thema DVD - entschieden kein Blog

Fehlt was? Stimmt was nicht? Ist ein Link putt? Bitte Mail an mich.