Не знаю актуально или нет? На всякий случай могу дать разъяснения по этому вопросу.
Этот процесс запускается из C:\WINDOWS\Temp\****\setup.exe где **** -папка с любым сочетанием букв, например, vvkvid. Аваст его детектит как Win32:Downloader-IDC [Trj] равно как и некоторые другие антивирусы (не первого эшелона). На самом деле этот процесс создается ( или маскируется )программой (сервисом) Google Update, встроенным с некоторыми дистрибутивами ХР.
Основной сервис запускается из C:\Program Files\Google\Update но и есть в реестровых ключах ([HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run])такие записи "Google Update"="C:\\Documents and Settings\\имя юзера\\Local Settings\\Application Data\\Google\\Update\\gupdate.exe" и в папке автозапуска: C:\Documents and Settings\имя юзера\Главное меню\Программы\Автозагрузка
C:\Documents and Settings\имя юзера\Local Settings\Application Data\Microsoft\Windows\winupdate.exe
Как утверждает описание программы сервис Google Update отслеживает все обновления программ от гугла и помогает их устанавливать. На мой взгляд это чушь.
Сначала надо выбить процессы winupdate.exe и gupdate.exe любым менеджером процессов, затем удалить ключ из реестра и ярлык из папки автозагрузки. Затем находим и удаляем сами файлы winupdate.exe и gupdate.exe и чистим все папки TEMP:
C:\WINDOWS\Temp
C:\Documents and Settings\имя юзера\Local Settings\Temp\
C:\Documents and Settings\имя юзера\Local Settings\Temporary Internet Files\
Я еще и попрощался с сервисом (удалил запись) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Google Update и после перезагрузки всю папку C:\Program Files\Google тоже удалил.
PS: 1 файлов процессов может быть и больше двух, смотреть по ключу автозапуска.
2 касперский и вэб на момент написания этого поста не детектили эти файлы. Только с десяток фриварных АВП. Но есть очень подозрительные моменты с дубляжом запуска этих файлов. Остальное решать вам.