É garantido que ele cria uma dll na pasta windows, então o combofix deverá servir.
O melhor seria você cercar o computador que está disseminando o virus, pois você falou que formatou, então pode ser um pen drive contaminado, e depois esse computador acessa a rede e babau.
Ou pegar um computador e testar o virus nele, e ver que arquivos se criam e se modificam primeiro, e você descobre onde está a base do virus.
Estava olhando no relatorio da Trend Micro, ele cria uma entrada no registro:
Ou seja, ele cria um autorun para se executar cada vez que o computador liga, na maioria das vezes, é só deletar e o virus para.Código :
HKEY_LOCAL_MACHINE\SOFWARE\Microsoft\ Windows\CurrentVersion\Run
Mas depois que ele é executado, ele se infecta em todos os processos aberto (svchost.exe, explorer.exe...)
(desculpe não saber mais sobre esse, pois ainda não peguei, então não dei uma olhada mais de perto)
Se puder postar o nome certinho, pois existem várias variantes dele, por exemplo uma: http://vil.nai.com/vil/content/v_150407.htm