Alpha-DVD finden und entfernen

Zwei Monate nach der Veröffentlichung der deutschen Video-DVD von "Mr. & Mrs. Smith" stet der mit Alpha-DVD versehene Titel immer noch in den Regalen von Händlern und Videotheken. Scheinbar gibt es auch keine Neuauflage ohne die koreanische Kopiersperre, über deren Nebenwirkungen hier mehr zu lesen ist.

Es ist der Kinowelt GmbH entweder zu teuer oder nicht wichtig genug, dass die mit Alpha-DVD 1.0.3.5 versehene DVD nicht mehr in Umlauf kommt. Man hofft offenbar darauf, dass der Sturm bald vorübergeht.

Seit der letzten Zusammenfassung auf diesen Seiten gibt es folgende Neuigkeiten:

• Microsoft bestreitet, Settec in irgend einer Form irgend eine Unbedenklichkeitserklärung ausgestellt zu haben oder Alpha-DVD überhaupt überprüft zu haben. Die EULA von Alpha-DVD hatte das Gegenteil suggeriert.
• Settec bietet einen Updater an, der Alpha-DVD auf die Version 1.0.4.0 aktualisiert. Diese Revision entfernt die Tarnkappenfunktion und geht angeblich etwas weniger rabiat vor als der Vorgänger.
• Die Video-DVD "Edison" (auch von Kinowelt) enthält eine Version von Alpha-DVD, die nur mit defekten Sektoren arbeitet, aber keine Software auf dem Rechner installiert. Potenziell gefährlich ist also derzeit nur "Mr. & Mrs. Smith".
  http://www.heise.de/newsticker/meldung/71115

Einige Leser haben angefragt, wie man Alpha-DVD erkennt und wie man das Ding wieder loswird.

Erkennungsmerkmale

Woran erkennt man, dass Alpha-DVD auf dem PC installiert ist? Zunächst einmal hinterlässt die Software keinen Deinstallationseintrag unter "Systemsteuerung/Software" und versteckt sich im laufenden Betrieb vor dem Windows-eigenen Task-Manager. Es gibt aber mehrere sichere Indizien, dass die Settec-Sperre auf dem Windows-PC installiert ist:

• ein Eintrag in der Registrierungsdatenbank unter [HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\ Windows\CurrentVersion\ policies\Explorer\Run] mit dem Schlüsselnamen "SystemManager". Dessen Wert ist ein Programm im Windows-Unterverzeichnis "system32". Der Programmname ist stets ein anderer (siehe unten).
• das Vorhandensein einer Datei "hadl.dll" im Windows-Unterverzeichnis "system32" (%windir%\system32). Die Datei ist 348 KByte groß (356 352 Bytes), trägt die Versionsnummer 1.0.3.5 und nennt in den Eigenschaften weder Hersteller noch Zweck.
• das Vorhandensein einer Datei "cmtl.dat" im Windows-Unterverzeichnis "system32" (s.o.). Diese Datei ist 2,5 KByte klein (2596 Bytes).
• das Vorhandensein einer Datei mit wechselndem Namen im selben Verzeichnis, die immer 808 KByte (827 392 Bytes) groß ist, angeblich von "MS Corp." stammt und als "System PTHelper" beschrieben wird. Die Datei trägt ebenfalls die Versionsnummer 1.0.3.5. Ihr Name lautet bei jeder Installation anders. Bekannte Bezeichnungen sind u.a. avsys.exe, bootvid.exe, dmdmgr.exe, msauite.exe, mscomc.exe, msxhtml.exe, systemprop.exe, tmpagt.exe und win32k2.exe.

Nur mit Zusatzwerkzeugen wie Filemon lässt sich feststellen, ob Alpha-DVD nicht nur installiert, sondern auch aktiv ist.

Schritte zur Beseitigung

• siehe DVD-FAQ: Was ist Alpha-DVD und wie werde ich es los?