Trojaner-Board - System noch sicher nach Befall durch sirefef?

Hi,

seit einiger Zeit hatten sich Indizien angehäuft, dass mein Rechner mit Viren o.ä. befallen ist (z.B. seltsame Programmnamen im Taskmanager, Warnungen windowseigener Sicherheitssoftware, Kaspersky Testscan).

Da aber das ganze nicht wirklich zur Ruhe kam, bin ich hier bei Euch auf die Empfehlung gestoßen, Malwarebyte zu verwenden.

Malwarebyte fand bei einm Quickscan

Code:

Infizierte Dateien: 3

C:\$Recycle.Bin\S-1-5-21-2039332925-1863363537-2811814650-1005\$ROW51XQ.dll (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Users\Axel\AppData\Local\Temp\sgwe3t.exe (Exploit.Drop.COD) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Users\Axel\AppData\Local\Temp\~!#9C73.tmp (Trojan.Lameshield) -> Erfolgreich gelöscht und in Quarantäne gestellt.

ein anschließender Komplettscan fand danach noch

Code:

Infizierte Dateien: 1

C:\Users\Axel\AppData\Local\{99f19485-3445-0935-4173-0958f8ab3dd1}\n (Trojan.Sirefef) -> Löschen bei Neustart.

Der Sirefef Trojaner war allerdings nach jedem Start des System ziemlich schnell wieder zu finden. Zudem telefnoierte er ständig mit den folgenden IP-Adressen

31.184.245.120 (Vereinte arabische Emirate)
88.254.254.254 (Türkei)
117.254.254.254 (Indien)
119.244.254.254 (China)
91.188.37.21 (Lettland)
78.41.203.120 (Niederlande)

Dabei wurden die Adressen in der Türkei, China und Indien im Abstand von 5-20 s angewählt, immer vom gleichen Port eines Explorer-Prozesses. Die Adresse in Lettland wurde sporadisch angesprochen, angeblich ist dort ein Mailserver für Viagra-Werbung u.ä.

Die Adressen in den Emiraten (gab drei) und in den Niederlanden wurden von einem svchost-Prozess mit jeweils wechselnden Ports im Abstand von 5 bis 25 min angesprochen.

Zudem kam es immer wieder zu Musikeinspielungen, deren Quelle lediglich als ein svchost-Prozess identifiziert werden konnte.

Lauf Microsoft ersetzt der Sirifef einen Treiber und ist somit immer wieder im System präsent. Bei mir ist zumindest das Musikeinspielen, das Telefonieren und das Auffinden des Trojaners beim Fullscan jetzt gestoppt worden. Allerdings hatte der infizierte Nutzer keine Admin-Rechte und das erneute Erscheinen des Trojaners auf dem Datenträger war erst behoben, als der Scan mit einem anderen Benutzer durchgeführt wurde.

Scheinbar ist der Trojaner ja nun weg, allerdings machte das offensichtliche Abspielen von Musik und die damit verbundene Aufmerksamkeit eigentlich nur dann Sinn, wenn das Programm sich ab da nicht mehr wirklich entfernen läßt.
Vielleicht sind die Infos hier ja für den ein oder anderen von Nutzen.

Meine Frage: Komme ich ohne das Neuaufsetzen meines Rechners aus?