Hilfe! Mein PC wurde gekidnappt!
So oder so ähnlich dürfte sich der Autor des Blogs Loetzer.com gefühlt haben. Wurde ihm doch kurzerhand die Kontrolle über den eigenen Rechner durch eine Player-Applikation einer Roxette-CD entzogen:
Gestern war ich mal wieder im Saturn. Eigentlich stand eine Anlage auf dem Einkaufszettel, aber wenn man schon mal da ist, kann man ja gleich mal bei den CDs vorbeigucken. Gesagt, getan. Am Ende standen meine Freundin und ich mit 4 CDs an der Kasse. Darunter auch Roxette - The Ballad Hits. Zu hause angekommen sollte die CD natürlich auch gehört werden. Also (mangels CD-Player) ab ins Notebook damit. Statt Winamp öffnete sich ein anderer Player. Na ja, DRM ist man ja leider gewohnt, aber auf den Notebook-Boxen hört man ja eh diese miese Qualität nicht. Erst als ich heute auf meine Platte guckte dämmerte mir, was da geschehen war. […]
Soweit so gut - spezielle integrierte Player, die die Kompatibilität der CDs erheblich einschränken sind wir ja alles gewohnt, seit uns die Musikindustrie kumulativ als Raubkopierer/Verbrecher tituliert. (Stimmt nicht). Doch weiter im Text:
Ich entdeckte zwei Dateien auf C:\. Einmal INSTALL.LOG und einmal UNWISE.EXE. Beim Blick in INSTALL.LOG dachte ich, ich sehe nicht richtig:
File Overwrite: C:\WINDOWS\system32\atl.dll
File Copy: C:\WINDOWS\ActiveSkin.INI
File Copy: C:\WINDOWS\system32\ActiveSkin.ocx
File Overwrite: C:\WINDOWS\system32\shlwapi.dll
File Overwrite: C:\WINDOWS\system32\urlmon.dll
File Overwrite: C:\WINDOWS\system32\wininet.dllDer Player hat sich nicht nur ungefragt installiert - nein, er hat dabei auch diverse Windows-Systemdateien überschrieben! Erinnerungen an Sony wurden wach… Ich sicherte erstmal die Log-Datei und hoffte auf einen funktionierenden Uninstaller. Pustekuchen. Nach der Deinstallation war zwar der Uninstaller und die Log-Datei weg - die überschriebenen Dateien sowie die beiden ActiveSkin-Dateien waren aber noch da. Also war Handarbeit angesagt… Immerhin sind die überschriebenen Dateien scheinbar alle von Windows geschützt, so dass sie (in anderen Versionen als vorher, also vermutlich saubere Versionen) alle wiederhergestellt wurden, als ich sie einfach verschoben habe.
Ich kann leider keine eigenen Tests durchführen, da ich die CD nicht besitze. Ich habe aber schon von anderen Leuten gehört, die Probleme mit solchen Audio Daten-CDs hatte. Da kam es z.B. vor, dass der Internet Explorer nicht mehr lief, weil die urlmon.dll beschädigt war. ActiveSkin.ocx ist mir auch nur in unguter Erinnerung (im Zusammenhang mit Adware?).
Wie sieht es mit EULAs oder READMEs aus? Gibt es im Booklet oder auf der CD (in einer Datei) einen Hinweis auf die Veränderung von Windows-Systemdateien (was ja definitv der Fall ist)?
Ich geb mal weiter:
Kann das mal bitte jemand [genauer] überprüfen? Ich habe [auch] gerade keine Zeit. Danke. (Sixtus)
Mein kleiner Tipp an alle Leidtragenden, die wissen wollen was da (auf dem PC) geschieht:
- Regmon (zeigt live,welche Änderungen an der Registry vorgenommen werden)
- Process Explorer (zeigt, welche Prozesse laufen, welche dlls geladen wurden und die Abhängigkeiten der Tasks untereinander)
- Filemon (zeigt live, welche Dateien geöffnet, verändert oder erstellt wurden - sehr interessant für das aktuelle Problem)
Das erinnert mich wiederum daran, dass ich eine Liste mit mehr oder minder wichtigen Tools anlegen wollte. Diese 3 Programme sind wohl sicher auf der (noch imaginären) Liste…
Via: Mario Sixtus, Rächer der unbekannten Blogeinträge…
[…] Es geht in die nächste Runde! […]