Форум esetnod32.ru [тема: Win32/Spy.Banker.ZNX] http://forum.esetnod32.ru Новое в теме Win32/Spy.Banker.ZNX форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Tue, 21 Apr 2026 08:21:24 +0300 Win32/Spy.Banker.ZNX Win32/Spy.Banker.ZNX Словили вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
хорошо, закрываем тему.

(второй подобный случай с ibank здесь на форуме. в этот раз разобрались.)
24.06.2013 10:13:48, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9659/message69181/ http://forum.esetnod32.ru/messages/forum6/topic9659/message69181/ Mon, 24 Jun 2013 10:13:48 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Banker.ZNX Win32/Spy.Banker.ZNX Словили вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
еще раз огромной спасибо за помощь!
24.06.2013 10:07:32, makaray.]]> http://forum.esetnod32.ru/messages/forum6/topic9659/message69180/ http://forum.esetnod32.ru/messages/forum6/topic9659/message69180/ Mon, 24 Jun 2013 10:07:32 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Banker.ZNX Win32/Spy.Banker.ZNX Словили вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
троянчик можно смело удалить. детект по нему уже есть в новой антивирусной базе.


====quote====
23.06.2013 14:08:28 Защита в режиме реального времени файл D:\Soft\test\agent.exe Win32/Spy.Banker.ZNX троянская программа очищен удалением - изолирован **** Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Total Commander\Totalcmd.exe.
=============

23.06.2013 11:11:29, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9659/message69150/ http://forum.esetnod32.ru/messages/forum6/topic9659/message69150/ Sun, 23 Jun 2013 11:11:29 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Banker.ZNX Win32/Spy.Banker.ZNX Словили вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
+
имеет смысл перейти на 6.0.316 версию ESET вместо четверки.


====quote====
"Модуль" = "c:\program files\eset\eset nod32 antivirus\ekrn.exe" ( 1: Безопасно ) ; ESET Service ; ESET ;
"Версия файла" = "4.2.71.3 " ( 1: Безопасно ) ;
"Имя продукта" = "ESET Smart Security" ( 1: Безопасно ) ;

=============

22.06.2013 15:53:42, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9659/message69109/ http://forum.esetnod32.ru/messages/forum6/topic9659/message69109/ Sat, 22 Jun 2013 15:53:42 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Banker.ZNX Win32/Spy.Banker.ZNX Словили вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
ок, проверяйте как банк будет работать без этого "лишнего" файлика. можно дополнительно связаться с техподдержкой банка и выяснить, нужен ли этот файлик для работы банка.
22.06.2013 14:53:56, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9659/message69103/ http://forum.esetnod32.ru/messages/forum6/topic9659/message69103/ Sat, 22 Jun 2013 14:53:56 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Banker.ZNX Win32/Spy.Banker.ZNX Словили вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
обновился
22.06.2013 14:46:51, makaray.]]> http://forum.esetnod32.ru/messages/forum6/topic9659/message69102/ http://forum.esetnod32.ru/messages/forum6/topic9659/message69102/ Sat, 22 Jun 2013 14:46:51 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Banker.ZNX Win32/Spy.Banker.ZNX Словили вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
еще,
если для работы банка необходима java, то установите актуальную версию java

поскольку скриптом мы удалили старую версию

====quote====
; Java™ 6 Update 31
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216031FF} /quiet
=============

возможно, через нее и пробили систему, поскольку актуальный бильд для java 6 v 45
http://www.oracle.com/technetwork/java/javase/downloads/jre6downloads-1902815.html
22.06.2013 14:42:14, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9659/message69101/ http://forum.esetnod32.ru/messages/forum6/topic9659/message69101/ Sat, 22 Jun 2013 14:42:14 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Banker.ZNX Win32/Spy.Banker.ZNX Словили вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
я предупрежу бухгалтера, комп ее, огромное Вам спасибо за помощь!
жду результатов
22.06.2013 14:39:50, makaray.]]> http://forum.esetnod32.ru/messages/forum6/topic9659/message69100/ http://forum.esetnod32.ru/messages/forum6/topic9659/message69100/ Sat, 22 Jun 2013 14:39:50 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Banker.ZNX Win32/Spy.Banker.ZNX Словили вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
теперь надо проверить, чтобы ваш банк нормально выполнял все транзакции, файл я отправил в вирлаб, будем ждать результат.
22.06.2013 14:38:27, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9659/message69099/ http://forum.esetnod32.ru/messages/forum6/topic9659/message69099/ Sat, 22 Jun 2013 14:38:27 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Banker.ZNX Win32/Spy.Banker.ZNX Словили вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
судя по айпишнику, который есть в файле cfg, перекидывает куда то не туда.
https://www.nic.ru/whois/?query=198.100.144.39
айпишник канадский
в этом файле прописан.

====quote====
bifit_a.cfg
=============

=============

ага, я тоже уже посмотрел..
точно зараза
переименовал сейчас, перегрузил, НОД не ругается, оперативка чистая..
22.06.2013 14:34:46, makaray.]]> http://forum.esetnod32.ru/messages/forum6/topic9659/message69098/ http://forum.esetnod32.ru/messages/forum6/topic9659/message69098/ Sat, 22 Jun 2013 14:34:46 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Banker.ZNX Win32/Spy.Banker.ZNX Словили вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
судя по айпишнику, который есть в файле cfg, перекидывает куда то не туда.
https://www.nic.ru/whois/?query=198.100.144.39
айпишник канадский
в этом файле прописан.

====quote====
bifit_a.cfg
=============

22.06.2013 14:31:25, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9659/message69097/ http://forum.esetnod32.ru/messages/forum6/topic9659/message69097/ Sat, 22 Jun 2013 14:31:25 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Banker.ZNX Win32/Spy.Banker.ZNX Словили вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
ок, получил все.
попробуйте переименовать этот файл в agent.vexe и перегрузить систему.
(чтобы он не попал в автозапуск.)

посмотрим результат.
будет ESET что-то детектировать или нет.

я пока отправлю файл в вирлаб.
22.06.2013 14:24:56, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9659/message69096/ http://forum.esetnod32.ru/messages/forum6/topic9659/message69096/ Sat, 22 Jun 2013 14:24:56 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Banker.ZNX Win32/Spy.Banker.ZNX Словили вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
+ поясните что это за страница в браузере

====quote====
HTTP://SBANK.RU/
=============
работаете с этим банком?

Да работаем, это судостроительный банк (интернет банк)
22.06.2013 14:17:05, makaray.]]> http://forum.esetnod32.ru/messages/forum6/topic9659/message69095/ http://forum.esetnod32.ru/messages/forum6/topic9659/message69095/ Sat, 22 Jun 2013 14:17:05 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Banker.ZNX Win32/Spy.Banker.ZNX Словили вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
ссылка на проверку вирустотал https://www.virustotal.com/ru/file/3ea5a9e03e6f7fcad6d275fb2151391e8b278b04aaeca13a­88bf5c3075fc8e17/analysis/1371894236/
кроме этого файла в папке есть еще файлы, в архиве выслал содержимое все папки
22.06.2013 14:15:57, makaray.]]> http://forum.esetnod32.ru/messages/forum6/topic9659/message69094/ http://forum.esetnod32.ru/messages/forum6/topic9659/message69094/ Sat, 22 Jun 2013 14:15:57 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Banker.ZNX Win32/Spy.Banker.ZNX Словили вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
и еще вопрос:
в этой папке есть другие файлы кроме  AGENT.EXE

====quote====
D:\USERS\USER\APPDATA\ROAMING\IBANK2\
=============

22.06.2013 14:04:58, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9659/message69093/ http://forum.esetnod32.ru/messages/forum6/topic9659/message69093/ Sat, 22 Jun 2013 14:04:58 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Banker.ZNX Win32/Spy.Banker.ZNX Словили вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
возможно, что этот файл и есть троян, надо проверить.
(совсем недавно появился в системе)

====quote====
Создан 20.06.2013 в 22:34:26
Изменен 20.06.2013 в 22:34:26

=============
и проблема у вас началась сразу же

====quote====
21.06.2013 10:48:19 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(1788) модифицированный Win32/Spy.Shiz.NCL троянская программа очистка невозможна ws-buh\User

=============
+ поясните что это за страница в браузере

====quote====
HTTP://SBANK.RU/
=============
работаете с этим банком?
22.06.2013 14:00:51, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9659/message69092/ http://forum.esetnod32.ru/messages/forum6/topic9659/message69092/ Sat, 22 Jun 2013 14:00:51 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Banker.ZNX Win32/Spy.Banker.ZNX Словили вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
ссылку дайте на проверку этого файла
и вышлите данный файл в почту safety@chklst.ru
22.06.2013 13:58:52, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9659/message69091/ http://forum.esetnod32.ru/messages/forum6/topic9659/message69091/ Sat, 22 Jun 2013 13:58:52 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Banker.ZNX Win32/Spy.Banker.ZNX Словили вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
вобще у нас стоит клиент-банк iBank2, но вчера его не запускали и ничего нового специально не устанавливали, а сейчас посмотрел, где лежит этот файл (C:\Users\User\AppData\Roaming\iBank2\agent.exe) , так вот эта папка создана вчера, хотя повторюсь, принудительно мы ничего не ставили и сам клиент-банк не запускали..
проверив на вирустотал выдало вот такую подозрительную строчку:
Comodo  TrojWare.Win32.Shiz.SRI  20130622  
я так понимаю Comodo его обнаруживает все таки как троян?
22.06.2013 13:54:40, makaray.]]> http://forum.esetnod32.ru/messages/forum6/topic9659/message69090/ http://forum.esetnod32.ru/messages/forum6/topic9659/message69090/ Sat, 22 Jun 2013 13:54:40 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Banker.ZNX Win32/Spy.Banker.ZNX Словили вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
программу ibank сами ставили? сделайте проверку этого файла на Virustotal


====quote====
Полное имя                  D:\USERS\USER\APPDATA\ROAMING\IBANK2\AGENT.EXE
Имя файла                   AGENT.EXE
Тек. статус                 ПРОВЕРЕННЫЙ в автозапуске
                           
www.virustotal.com          Хэш НЕ найден на сервере.
                           
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ в автозапуске
File_Id                     51C2CCB4D2000
Linker                      10.0
Размер                      850264 байт
Создан                      20.06.2013 в 22:34:26
Изменен                     20.06.2013 в 22:34:26
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано IdentityMine Inc
                           
Оригинальное имя            a
Версия файла                1.0.0.1
Описание                    TODO: <Описание файла>
Производитель               TODO: <Название компании>
                           
Доп. информация             на момент обновления списка
SHA1                        899E37EE56147A82B369A9D76E2405CB40C2CCA8
MD5                         7A2B7A536D8019E5DE658199E5C2F55F
                           
Ссылки на объект            
Ссылка                      HKLM\vdnljpfcx\Software\Microsoft\Windows\CurrentVersion\Run­\bifit_agent
bifit_agent                 C:\Users\User\AppData\Roaming\iBank2\agent.exe

=============


http://virustotal.com
22.06.2013 13:32:26, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9659/message69089/ http://forum.esetnod32.ru/messages/forum6/topic9659/message69089/ Sat, 22 Jun 2013 13:32:26 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Banker.ZNX Win32/Spy.Banker.ZNX Словили вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
прикладываю
лог журнала.txt
тест оперативной памяти.txt
22.06.2013 13:17:22, makaray.]]> http://forum.esetnod32.ru/messages/forum6/topic9659/message69088/ http://forum.esetnod32.ru/messages/forum6/topic9659/message69088/ Sat, 22 Jun 2013 13:17:22 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Banker.ZNX Win32/Spy.Banker.ZNX Словили вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
сделайте в ESET NOD32 проверку только оперативной памяти

лог сканирования добавьте на форум.

+
добавьте новый лог журнала обнаружения угроз
22.06.2013 12:50:27, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9659/message69087/ http://forum.esetnod32.ru/messages/forum6/topic9659/message69087/ Sat, 22 Jun 2013 12:50:27 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Banker.ZNX Win32/Spy.Banker.ZNX Словили вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
извиняюсь
WS-BUH_2013-06-22_11-26-24.7z
22.06.2013 11:31:25, makaray.]]> http://forum.esetnod32.ru/messages/forum6/topic9659/message69086/ http://forum.esetnod32.ru/messages/forum6/topic9659/message69086/ Sat, 22 Jun 2013 11:31:25 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Banker.ZNX Win32/Spy.Banker.ZNX Словили вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
переделайте еще раз образ.

надо сделать выбор каталога системы с жесткого диска, потом уже нажимать текущий пользователь.

Пользователь добавил изображение

у вас сейчас образ системы с загрузочного диска, а не проблемной системы с жесткого диска.
22.06.2013 11:00:57, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9659/message69085/ http://forum.esetnod32.ru/messages/forum6/topic9659/message69085/ Sat, 22 Jun 2013 11:00:57 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Banker.ZNX Win32/Spy.Banker.ZNX Словили вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
образ автозапуска с ливсд
MININT-6J13S9R_2013-06-22_10-25-43.7z
22.06.2013 10:35:15, makaray.]]> http://forum.esetnod32.ru/messages/forum6/topic9659/message69084/ http://forum.esetnod32.ru/messages/forum6/topic9659/message69084/ Sat, 22 Jun 2013 10:35:15 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Banker.ZNX Win32/Spy.Banker.ZNX Словили вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
завтра сделаю и выложу образ, огромное спасибо за помощь!
21.06.2013 23:57:12, makaray.]]> http://forum.esetnod32.ru/messages/forum6/topic9659/message69074/ http://forum.esetnod32.ru/messages/forum6/topic9659/message69074/ Fri, 21 Jun 2013 23:57:12 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Banker.ZNX Win32/Spy.Banker.ZNX Словили вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
нет
http://forum.esetnod32.ru/forum27/topic2102/
21.06.2013 23:51:17, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic9659/message69073/ http://forum.esetnod32.ru/messages/forum6/topic9659/message69073/ Fri, 21 Jun 2013 23:51:17 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Banker.ZNX Win32/Spy.Banker.ZNX Словили вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Арвид пишет:
есть возможность сделать образ автозапуска с LiveCD?
=============
сейчас точно нет, завтра могу попробовать
LiveCD нужно создавать особенный?
21.06.2013 23:48:07, makaray.]]> http://forum.esetnod32.ru/messages/forum6/topic9659/message69070/ http://forum.esetnod32.ru/messages/forum6/topic9659/message69070/ Fri, 21 Jun 2013 23:48:07 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Banker.ZNX Win32/Spy.Banker.ZNX Словили вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
есть возможность сделать образ автозапуска с LiveCD?
21.06.2013 23:43:44, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic9659/message69069/ http://forum.esetnod32.ru/messages/forum6/topic9659/message69069/ Fri, 21 Jun 2013 23:43:44 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Banker.ZNX Win32/Spy.Banker.ZNX Словили вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
вот
SysInspector-WS-BUH-130621-2332.zip
21.06.2013 23:36:44, makaray.]]> http://forum.esetnod32.ru/messages/forum6/topic9659/message69068/ http://forum.esetnod32.ru/messages/forum6/topic9659/message69068/ Fri, 21 Jun 2013 23:36:44 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Banker.ZNX Win32/Spy.Banker.ZNX Словили вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
такой лог сделайте
http://forum.esetnod32.ru/forum9/topic54/
21.06.2013 23:28:51, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic9659/message69067/ http://forum.esetnod32.ru/messages/forum6/topic9659/message69067/ Fri, 21 Jun 2013 23:28:51 +0400 Обнаружение вредоносного кода и ложные срабатывания