По информации процесса, он находится в \system32\, однако там такого файла нет (скрытые и системные файлы показаны). При попытке создать новый файл с таким именем система ругается, что он уже есть.
Процесс периодически запускает от своего имени интернет эксплорер, и этим оченть напрягает. Да, в списке процессов он то появляется, то исчезает.
В реестре нигде не упоминается...
Антивирусник (др. веб) и troyan remover нихрена не видят.

Kiborg
Если создать там файл с таким же именем не получается, то значит он там есть точно. Пробуй из сэйвмода поискать или из доса. Когда процесс присутсвует он разрешает себя забить из процессов?

попробуй поюзать бесплатную утилиту clrav.com с сайта касперского -лечит популярные вири

NagasH
Я только что был на сайте касперского - он ещё такого не знает(в списках нет), если имя правильно Kiborg указал. Гугл тож ничего не знает. Значит это самый свежачёк - ещё тёпленький .

mein имя файла те ничего не даст... оно не обязательно шаблонное

Сам искал по поисковикам. Результат - 0.
Вирус точно не особенно популярный :-Р
Копирую из вопля оутпоста:
C:\WINDOWS\SYSTEM32\GHAACA32.EXE

NagasH
Зацени вот эту прогу http://www.jsiinc.com/SUBP/tip7800/rh7835.htm .
Запускаешь это в консоли и смотришь что за порты открыты и кем. Если твой "любимец" открывает их значит троян, если портов слишком много от него то значит червяк, если его там нема, то барахло какое-то(либо вирус, но скорее всего просто доставалка - например открывает эксплорер).

Ой я препутал, но не важно. Kiborg - это тебе

mein
У меня стоит оутпост и... И ни одного порта ghaaca32 не открывает. Он пытается запустить от своего имени процесс iexprorer... Тут его и ловит оутпост. Но все равно неприятно, что такая херня стоит на компе.

Kiborg в чем проблема? кильни его насильно - taskkill /im GHAACA32.EXE /f /t

потом запусти msconfig и убей его из автозагрузки

Kiborg
Попробуй вот эти команды

Возможно две последние команды нужно будет поменять местами.

НУ и что, что стоит оутпост - ты думаешь защищён?! А откуда он у тебя появился? Ведь у тебя и хвалёный фаервол и антивирус а твари ползают по твоему тазику и запускают чё хотят.

Kiborg
Это наверное ад-спаммер, попробуй ad-aware

mein
C:\>xcopy %windir%\system32\ghaaca32.exe c:\ /H
Скопировано файлов: 0.

Он не скопировал, но нашел файл!!!
Да, абзац.
Почему не думаю, что защищен - вчера 5 минут пробул в сети без защиты вообще. В результате вчера же и вылечил 7 вирусов/троянов. Остался один - самый настырный.

А почему все решили что это вирус ?
В полне возможно это какия-нибудь софтина.
Попробуй использовать фаервол.
И смотри на сетевую активность этого "друга"

Добавлено спустя 4 минуты, 4 секунды:
Если даже это троян то при использовании фаервола ему ничего не светит

Kiborg

Это ещё не значит что он нашёл. Когда оутпост матерится на него он размер файла не говорит? Нужен точный размер его, чтобы поискать по размеру.

Kiborg я те грю прибей его =)
taskkill /im GHAACA32.EXE /f /t

@ндрей

Ты думаешь . Правильно и вовремя установленный троян может хорошо жить с антивирусами и фаерволами .

Добавлено спустя 6 минут, 25 секунд:
NagasH
Стандартный забиватель хорош конечно, но не всё может забить. Я предпочитаю http://www.teamcti.com/pview/PrcView.zip

NagasH
Прибил, спасибо.
После чего просто грохнул исполняемый файл.
Вроде, все работает И никто ни на кого не ругается.

Добавлено спустя 1 минуту, 18 секунд:
mein
Если xcopy не находит файл, то она сначала пишет "файл не найден", а затем - скопировано файлов - 0. Это я только что понял, пару раз ошибившись при написании текстовой строки

mein Я с тобой согласен что есть трояны которые могут жить с антивирусами. Но на счет фаервола я не согласен. (по крайней мере я не сталкиволся с ситуацией чтобы фаервол не определял сетевую активность приложения)
Может я и ошибаюсь

да... я как-то не подумал... может GHAACA32.EXE это фейк
просто надо скачать какой-нидь продвинутый просмотрщик процессов типа Process Explorer 8 - http://www.sysinternals.com/

Kiborg
Да я уже заметил, что он пишет сначала, что файл не найден . А почему удалил надо было мне выслать по почте - я бы глянул что за зверь то - ведь интересно же.