Process Monitor , da SysInternals, pode ser o que você está procurando. Ele pode ser filtrado para mostrar apenas alterações no sistema de arquivos e, em seguida, você tem a tarefa invejável de filtrá-lo manualmente para excluir as coisas comuns, como o Windows Explorer.
EDIT: Como uma nota lateral, você pode ser capaz de eliminar completamente o malware com o ComboFix. Isso está disponível em BleepingComputer (mas não funciona no Windows de 64 bits) .