Verschlüsselungtrojaner

SGP

Hallo allerseits,
zunächst: bin nur Anwender, daher ist mein Vorgehen sicherlich auch unprofessionell.

Ich habe am Mon, 11.06.12, ca. 01:00, einen Verschlüsselungs-Trojaner eingefangen.
Erst zu spät Verschlüsselung auf Desktop gemerkt, hielt diesen zunächst für einen BKA-Virus.
Bild war etwa wie das auf Trojaner-Board links oben, mit EUR 100 Forderung.
Screen shot konnte ich nicht machen bzw. nicht speichern.
Habe Windows XP Service Pack 3 x86 NTFS.
Task Manager war deaktiviert.

Verschlüsselung sieht etwa so aus: AVsqUXueXJsjfnqd (war mal pdf, jetz ohne extensions).

Mit etwas Glück konnte ich später mit Spybot beheben (habe keinen Report dazu, da ich Verschl. nicht ahnte):
Trojan.Matsnu.1.
Injector
Trojan-Ransom.Win32.Rannoh

Malwarebytes zeigte dann im Report:
++++++++++++++++++++++++++++++++++++++++++++++++
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org
Datenbank Version: v2012.06.12.09

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
user :: DELL2 [Administrator]

13.06.2012 02:16:32
mbam-log-2012-06-13 (02-37-53).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 236472
Laufzeit: 15 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Documents and Settings\user\Application Data\Cjeklgybax\yxuwzymyx.exe (Trojan.Winlock) -> Keine Aktion durchgeführt.
C:\WINDOWS\wuasirvy.dll (Trojan.Banker) -> Keine Aktion durchgeführt.
(Ende)
++++++++++++++++++++++++++++++++++++++++++++++++

Welcher von den o.g. verschlüsselt, oder gar mehrere?

Aus Zeitmangel erst heute (Sa, 16.06.12) wieder den Rechner gestartet, doch im abgesicherten Modus (F8) ging es nicht.
Es kam eine Fehlermeldung. Bin nun wieder am Ersatzrechner.

Habe zuvor rasch nach verschl. Datei und original-Datei gesucht, zum Senden an T-B evtl. für Entschlüsselungs-Code.
Ich habe das mulmige Gefühl,
dass trotz keiner Virus-Anzeige (erneut gescannt mit Malwarebytes, Spybot, Avira - keine Funde)
evtl. das Verschlüsseln weiter geht. Viele Ordner sind betroffen.
Ist das im Hintergrund etwa möglich, wenn Rechner läuft?

Meine Frage:
1. Wie erkenne ich, dass das System sauber ist?
Punkt 1. im Forum habe ich rel. spät aber doch durchgeführt. Keine Funde mehr.
Punkt 2. würde mir als Laie lange dauern, versteh gar nicht worum es da geht,
Und v.A.: ich traue dem System z.Z. nicht, befürchte, dass im Hintegrund weiter verschlüsselt wird.
2. Habe RAID auf dem Rechner. Kann das evtl. irgendwie helfen Files zurück zu bekommen - wenn ja wie? Oder kann RAID sogar schaden in so einem Fall?
Danke für jede Antwort.

SGP