userinit betroffen- was kann ich machen

Litom · 27.10.2010, 19:17

Hallo,

ich bin hier neu und brauche Hilfe, da sich seit einiger Zeit "mein" AVG meldet wegen eines Trojaner Befalls: Generic 19.BMMO. Es läßt sich wohl nicht bereinigen, weil der userinit betroffen ist (Whitelist).

Ich habe daraufhin Malwarebytes laufen lassen: Nach der Bereinigung von noch einigen anderen Trojaner, blieben jedoch die 2 Meldungen wie folgt:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4966

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

27.10.2010 20:06:07
mbam-log-2010-10-27 (20-06-07).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 162966
Laufzeit: 8 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Malware.Packer.Gen) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Malware.Packer.Gen) -> Data: system32\userinit.exe -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Wie kann ich das Problem lösen ?

DANKE im voraus, Litom

Chris4You · 28.10.2010, 12:14

Hi,

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Wenn das nicht geht, habe ich noch einen ;o)...

chris

Litom · 28.10.2010, 18:36

Hallo Chris,

erstmal danke für deine Antwort

!! Anbei das Ergebnis.

Ist jetzt wieder alles gut

:-)) ? Bereinigt CombiFix auch gleichzeitig ?

Thomas

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-10-27.A3 - Thomas 28.10.2010  18:05:43.1.1 - FAT32x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1023.655 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Thomas\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Macromedia\SwUpdate
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Macromedia\SwUpdate\Flags.dtd
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\install.exe
c:\windows\dat.txt
c:\windows\search_res.txt
c:\windows\system32\muzapp.exe
c:\windows\system32\tmp.reg
c:\windows\WOW32.DAT

----- BITS: Eventuell infizierte Webseiten -----

hxxp://pptt.ws
Infizierte Kopie von c:\windows\system32\userinit.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\system32\dllcache\userinit.exe wurde wiederhergestellt 

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BOONTY_GAMES
-------\Service_Boonty Games


(((((((((((((((((((((((   Dateien erstellt von 2010-09-28 bis 2010-10-28  ))))))))))))))))))))))))))))))
.

2010-10-27 17:20 . 2010-10-27 17:20	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Malwarebytes
2010-10-27 17:20 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-27 17:20 . 2010-10-27 17:20	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-27 17:20 . 2010-10-27 17:20	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-10-27 17:20 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-10-26 07:38 . 2010-10-26 07:39	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Startmenü
2010-10-19 20:10 . 2010-10-19 20:10	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Anwendungsdaten\vShare
2010-10-19 20:10 . 2010-10-19 20:10	--------	d-----w-	c:\programme\vShare
2010-10-13 11:29 . 2010-09-18 06:52	953856	------w-	c:\windows\system32\dllcache\mfc40u.dll
2010-10-13 11:29 . 2010-09-18 06:52	974848	------w-	c:\windows\system32\dllcache\mfc42.dll
2010-10-13 11:27 . 2010-08-23 16:11	617472	------w-	c:\windows\system32\dllcache\comctl32.dll
2010-10-10 18:32 . 2010-10-10 18:32	--------	d-----w-	c:\programme\CeWe Color
2010-10-07 17:07 . 2010-10-07 17:07	53248	----a-r-	c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Microsoft\Installer\{DF6FE172-006A-4324-AF7F-ACFE4BA290FE}\ARPPRODUCTICON.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-03 18:01 . 2009-04-15 11:10	938889	----a-w-	c:\dokumente und einstellungen\Thomas\Anwendungsdaten\mdbu.bin
2010-09-18 10:22 . 2004-09-07 14:33	974848	------w-	c:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 2004-09-07 14:33	974848	----a-w-	c:\windows\system32\mfc42.dll
2010-09-18 06:52 . 2004-09-07 14:33	954368	------w-	c:\windows\system32\mfc40.dll
2010-09-18 06:52 . 2004-09-07 14:33	953856	------w-	c:\windows\system32\mfc40u.dll
2010-09-10 05:47 . 2004-09-07 14:34	916480	----a-w-	c:\windows\system32\wininet.dll
2010-09-10 05:47 . 2004-09-07 14:33	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-09-10 05:47 . 2004-09-07 14:33	1469440	------w-	c:\windows\system32\inetcpl.cpl
2010-09-01 11:50 . 2004-09-07 14:33	285824	----a-w-	c:\windows\system32\atmfd.dll
2010-09-01 07:54 . 2004-09-07 14:34	1852928	------w-	c:\windows\system32\win32k.sys
2010-08-27 08:01 . 2004-09-07 14:34	119808	------w-	c:\windows\system32\t2embed.dll
2010-08-27 05:57 . 2004-09-07 14:34	99840	------w-	c:\windows\system32\srvsvc.dll
2010-08-27 01:43 . 2008-05-05 05:25	5632	----a-w-	c:\windows\system32\xpsp4res.dll
2010-08-26 13:39 . 2004-09-07 14:34	357248	------w-	c:\windows\system32\drivers\srv.sys
2010-08-23 16:11 . 2004-09-07 14:33	617472	------w-	c:\windows\system32\comctl32.dll
2010-08-17 13:17 . 2004-09-07 14:34	58880	----a-w-	c:\windows\system32\spoolsv.exe
2010-08-16 08:44 . 2004-09-07 14:34	590848	----a-w-	c:\windows\system32\rpcrt4.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35D-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll" [2010-06-13 138552]

[HKEY_CLASSES_ROOT\clsid\{eee6c35d-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
2010-06-13 15:25	1438520	----a-w-	c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2010-06-13 1438520]

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2010-06-13 1438520]

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-04-27 5562368]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-03-17 421888]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
"PDFPrint"="c:\programme\pdf24\pdf24.exe" [2010-02-22 207504]
"ArcSoft Connection Service"="c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-03-18 207360]
"tuloxFreeWBS"="c:\programme\tuloxFreeWBS\FreeDict.exe" [2003-05-13 1449984]
"SweetIM"="c:\programme\SweetIM\Messenger\SweetIM.exe" [2010-06-07 111928]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
2004-10-15 09:27	110592	----a-w-	c:\programme\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50	155648	------w-	c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2009-10-09 11:11	25623336	----a-r-	c:\programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [05.05.2009 22:25 64288]
R0 R592;R592;c:\windows\system32\drivers\R592.sys [14.05.2007 20:25 57088]
R0 risdpntk;risdpntk;c:\windows\system32\drivers\risdpntk.sys [14.05.2007 20:25 27264]
R2 AAV UpdateService;AAV UpdateService;c:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 16:35 128296]
R3 ArcCD;ArcCD Filter Driver Service;c:\windows\system32\drivers\ArcCD.sys [19.06.2010 16:06 36224]
R3 HSFHWSIS;HSFHWSIS;c:\windows\system32\drivers\HSFHWSIS.sys [14.05.2007 20:25 193280]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [04.02.2010 16:52 1265264]
S3 Asushwio;Asushwio;c:\windows\system32\drivers\ASUSHWIO.SYS [26.08.2007 13:53 5824]
S4 ArcUdfs;ArcUdfs FileSystem Driver Service;c:\windows\system32\drivers\ArcUdfs.sys [19.06.2010 16:06 134912]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - ArcRec
.
Inhalt des "geplante Tasks" Ordners

2010-10-27 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-02-04 18:57]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.spiegel.de/
mStart Page = hxxp://home.sweetim.com
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} - hxxp://ips.poi.de/ips-opdata/operator/69189345/objects/jordan.cab
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

URLSearchHooks-{4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac} - (no file)
URLSearchHooks-{1C4AB6A5-595F-4e86-B15F-F93CCE2BBD48} - (no file)
URLSearchHooks-{cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - (no file)
BHO-{0C37B053-FD68-456a-82E1-D788EE342E6F} - (no file)
BHO-{4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac} - (no file)
BHO-{cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - (no file)
Toolbar-{4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac} - (no file)
Toolbar-{FD2FD708-1F6F-4B68-B141-C5778F0C19BB} - (no file)
Toolbar-{cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - (no file)
Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{FD2FD708-1F6F-4B68-B141-C5778F0C19BB} - (no file)
WebBrowser-{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - (no file)
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
HKCU-Run-Getdo - (no file)
HKCU-Run-Kbddx - c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Adobe\Update\wndcli.exe
SSODL-leorop-{B58A65EA-D306-48F0-9BFE-5B2E272FDBA6} - (no file)
AddRemove-tulox Freeware-Wörterbuch (Spanisch) - c:\progra~1\TULOXF~1\UNWISE32



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-10-28 18:15
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1013684752-5853617-291304615-1005\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-1013684752-5853617-291304615-1005\Software\SecuROM\License information*]
"datasecu"=hex:28,37,36,55,df,19,60,cc,e2,7f,50,cb,81,eb,1e,9b,e1,d4,f8,20,ee,
   c4,49,18,80,dd,8f,c3,d5,84,e4,fe,13,a2,c5,52,95,0b,e6,46,79,9e,65,9f,3f,28,\
"rkeysecu"=hex:88,48,3e,2b,a4,6f,9b,df,70,96,c6,be,ed,09,ea,1c
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(476)
c:\programme\Intel\Wireless\Bin\LgNotify.dll

- - - - - - - > 'explorer.exe'(2176)
c:\programme\SweetIM\Messenger\mgAdaptersProxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Intel\Wireless\Bin\OProtSvc.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\System32\snmp.exe
c:\programme\ASUS\NB Probe\SPM\spmgr.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\Intel\Wireless\Bin\ZcfgSvc.exe
c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ArcCon.ac
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-10-28  18:19:21 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-10-28 16:19

Vor Suchlauf: 3.375.202.304 Bytes frei
Nach Suchlauf: 3.870.392.320 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - B10AC62F5C27018853EC6320DD4D444C

--- --- ---

Chris4You · 29.10.2010, 06:55

Hi,

ja die inizierte userinit.exe wurde ausgetauscht...

Code:

ATTFilter

Infizierte Kopie von c:\windows\system32\userinit.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\system32\dllcache\userinit.exe wurde wiederhergestellt

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe

Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

Unter Extra Registry, wähle bitte Use SafeList

Klicke nun auf Run Scan links oben

Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

Poste die Logfiles hier in den Thread

http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

chris

userinit betroffen- was kann ich machen

Plagegeister aller Art und deren Bekämpfung: userinit betroffen- was kann ich machen