похоже на этот вариант
http://forum.esetnod32.ru/forum16/topic9167/

[QUOTE]Эксперты вирусной лаборатории ESET обнаружили новую версию банковского трояна Carberp. В результате его анализа было установлено, что вредоносный код начал использовать специальную Java-библиотеку с открытым исходным кодом (т.н. Javassist). С ее помощью Carberp может модифицировать банковское ПО, основанное на языке программирования Java.

Основной целью новой версии Carberp является модификация программного комплекса iBank 2 компании БИФИТ, который широко применяется для дистанционного банковского обслуживания пользователей в России и на Украине. Для достижения этой цели Carberp использует вредоносный java-модуль, который детектируется ESET как Java/Spy.Banker.AB. Функционал данного модуля позволяет обходить системы двухфакторной аутентификации с использованием одноразовых паролей. [/QUOTE]

здесь, как раз в папке с агентом этот файлик
javassist

[QUOTE]Арвид пишет:
какие-то лентяи файл компилировали[/QUOTE]
вот-вот, тоже подумал такое

цифровая все таки подозрительная
[QUOTE]Цифр. подпись Действительна, подписано IdentityMine Inc[/QUOTE]

но еще больше вот это инфо
[QUOTE]Описание TODO: <Описание файла>
Производитель TODO: <Название компании>
[/QUOTE]
кстати, довольно часто встречается, и не всегда у зловредов.
что это может означать.
-------
может, какая то инфо не попала при компиляции файла? и остались поля незаполненные

да, здесь цифровая подпись вводит в заблуждение.
я тоже крутил образ по всякому, потом отменил статус проверенные и выбрал фильтр по дате. так и обнаружился этот файл.

+
имеет смысл перейти на 6.0.316 версию ESET вместо четверки.

[QUOTE]"Модуль" = "c:\program files\eset\eset nod32 antivirus\ekrn.exe" ( 1: Безопасно ) ; ESET Service ; ESET ;
"Версия файла" = "4.2.71.3 " ( 1: Безопасно ) ;
"Имя продукта" = "ESET Smart Security" ( 1: Безопасно ) ;
[/QUOTE]

интересно, на основании чего ESET sysinspector присвоил рейтинг безопасности подозрительному файлу

[QUOTE]"bifit_agent" = "C:\Users\User\AppData\Roaming\iBank2\agent.exe" ( 2: Безопасно ) ; TODO: <Описание файла> ; TODO: <Название компании> ; [/QUOTE]

http://forum.esetnod32.ru/forum6/topic9659/

ок, проверяйте как банк будет работать без этого "лишнего" файлика. можно дополнительно связаться с техподдержкой банка и выяснить, нужен ли этот файлик для работы банка.

еще,
если для работы банка необходима java, то установите актуальную версию java

поскольку скриптом мы удалили старую версию
[QUOTE]; Java™ 6 Update 31
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216031FF} /quiet[/QUOTE]

возможно, через нее и пробили систему, поскольку актуальный бильд для java 6 v 45
http://www.oracle.com/technetwork/java/javase/downloads/jre6downloads-1902815.html

теперь надо проверить, чтобы ваш банк нормально выполнял все транзакции, файл я отправил в вирлаб, будем ждать результат.

судя по айпишнику, который есть в файле cfg, перекидывает куда то не туда.
https://www.nic.ru/whois/?query=198.100.144.39
айпишник канадский
в этом файле прописан.
[QUOTE]bifit_a.cfg[/QUOTE]