[QUOTE]zloyDi пишет:
проблема в том что Вам необходимо провести полный анализ системы, в техподдержке это сделают и скажут какие именно файлы нужны, удалите все вложения и ссылки которые Вы тут оставили и отправьте все в саппорт с описанием проблемы.

Спасибо.[/QUOTE]

Удалил.

[QUOTE]zloyDi пишет:
Я рекомендовал бы сразу обратится сюда [email protected][/QUOTE]

А у вас есть сервис, куда можно стучать о новых зловредах? Или в поддержку и стучать?

У вас файлы только до 3,81 Мб можно грузить. Поэтому вот ещё: ;)

Здесь два архива:

- "jre7.rar" - Папка из "Program Files" с java...
- "infotecs.rar" - Папка "C:\Program Files\InfoteCS"

Добрый день.

У меня стоит iBank2 - клиент-банк.
Недавно появилась ошибка при входе в iBank2: "Transport not found: GET_RESOURCES".
В поддержке ООО Бифит сообщили, что в логах Java обнаружена подгрузка чужого кода.

Файл "BIFIT_A\agent.exe" копирует себя в папку "%USERPROFILE%\Application Data\BIFIT_A", копирует "itcspea.dll" в "%WINDOWS%\system32" и самоудаляется. Что ещё делает не знаю. Зачем-то он обращается в "C:\Program Files\InfoteCS", где у меня установлен какой-то криптопровайдер. На VirusTotal это файл палится только Comodo как TrojWare.Win32.Shiz.SRI. Остальные молчат.
Вся папка "%USERPROFILE%\Application Data\BIFIT_A" в архиве "bifit_a.rar" с паролем "virus".

Я мониторил саму java.exe. Она так же обращается в каталог BIFIT_A (к *.jar пакетам), к "system32\itcspea.dll" и к "C:\AUTOEXEC.BAT". Так же к другим dll в system32.

Для мониторинга java.exe и agent.exe я использовал ProcessMonitor из пакета Sysinternals Suite. Все логи в архиве Logs.rar:

- "Process Monitor Sysinternals On close.PML" - Лог java.exe. При закрытии зараженного java-апплета.
- "Process Monitor Sysinternals On Loading - With Error.PML" - Лог java.exe. При нажатии на кнопку "Новый клиент" в нижнем левом углу и появлении ошибки "Transport not found..."
- "Process Monitor Sysinternals Total.PML" - Лог java.exe. Всеобщий лог - от запуска апплета, ошибки "Transport..." и закрытия апплета.
- "process monitor sysinternals agent startup.pml" - Лог agent.exe. Он запускается, самоудаляется и т.д.
- "Process Monitor Sysinternals After delete BIFIT_A with crash 2.PML" - Лог java.exe. После удаления папки "%USERPROFILE%\Application Data\BIFIT_A".
- "Process Monitor Sysinternals After delete BIFIT_A with crash.PML" - Лог java.exe. После удаления папки "%USERPROFILE%\Application Data\BIFIT_A".

После удаления каталога "%USERPROFILE%\Application Data\BIFIT_A" он больше не появляется (его нет и после перезагрузки ПК), однако java-апплеты валятся с ошибкой. Думаю, первоначально вирус мог установится вместе с программой "C:\Program Files\InfoteCS".

"system32\*.DLL", к которым обращался "java.exe" в архиве "dlls.rar".
Файлы "system32\*", к которым обращался "agent.exe" в архиве "bifit_a_system32.rar".

Страница системы iBank2: https://client.primbank.ru/client_su.html.
Ну вроде все...
Очень надеюсь на вашу помощь! :)