ок, получил все.
попробуйте переименовать этот файл в agent.[B]vexe[/B] и перегрузить систему.
(чтобы он не попал в автозапуск.)

посмотрим результат.
будет ESET что-то детектировать или нет.

я пока отправлю файл в вирлаб.

и еще вопрос:
в этой папке есть другие файлы кроме  AGENT.EXE
[QUOTE]D:\USERS\USER\APPDATA\ROAMING\IBANK2\[/QUOTE]

возможно, что этот файл и есть троян, надо проверить.
(совсем недавно появился в системе)
[QUOTE]Создан 20.06.2013 в 22:34:26
Изменен 20.06.2013 в 22:34:26
[/QUOTE]
и проблема у вас началась сразу же
[QUOTE]21.06.2013 10:48:19 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(1788) модифицированный Win32/Spy.Shiz.NCL троянская программа очистка невозможна ws-buh\User
[/QUOTE]+ поясните что это за страница в браузере
[QUOTE]HTTP://SBANK.RU/[/QUOTE]
работаете с этим банком?

ссылку дайте на проверку этого файла
и вышлите данный файл в почту [email protected]

программу ibank сами ставили? сделайте проверку этого файла на Virustotal

[QUOTE]Полное имя D:\USERS\USER\APPDATA\ROAMING\IBANK2\AGENT.EXE
Имя файла                   AGENT.EXE
Тек. статус                 ПРОВЕРЕННЫЙ в автозапуске
                           
www.virustotal.com          Хэш НЕ найден на сервере.
                           
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ в автозапуске
File_Id                     51C2CCB4D2000
Linker                      10.0
Размер                      850264 байт
Создан                      20.06.2013 в 22:34:26
Изменен                     20.06.2013 в 22:34:26
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано IdentityMine Inc
                           
Оригинальное имя            a
Версия файла                1.0.0.1
Описание                    TODO: <Описание файла>
Производитель               TODO: <Название компании>
                           
Доп. информация             на момент обновления списка
SHA1                        899E37EE56147A82B369A9D76E2405CB40C2CCA8
MD5                         7A2B7A536D8019E5DE658199E5C2F55F
                           
Ссылки на объект            
Ссылка                      HKLM\vdnljpfcx\Software\Microsoft\Windows\CurrentVersion\Run­\bifit_agent
bifit_agent                 C:\Users\User\AppData\Roaming\iBank2\agent.exe
[/QUOTE]


http://virustotal.com

сделайте в ESET NOD32 проверку [B]только оперативной памяти[/B]

лог сканирования добавьте на форум.

+
добавьте новый лог журнала обнаружения угроз

переделайте еще раз образ.

надо сделать выбор каталога системы с жесткого диска, потом уже нажимать текущий пользователь.

[IMG]http://chklst.ru/forum/docs/start.jpg[/IMG]

у вас сейчас образ системы с загрузочного диска, а не проблемной системы с жесткого диска.

проблема решается на другом форуме.

из безопасного режима системы сделайте образ автозапуска

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v3.80.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ОЛЬГА\APPLICATION DATA\NOUXYM\NOAS.EXE
addsgn 9A786CDA5582A28DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BCEC72­62D3B7CBAD11BBA1EC430AB5D41E461649FA7DDFE97255DAB02C2D77A42F­8A635007 8 Zbot.20130620

bl 43F465516738ACF54767710AD6A99085 183418

hide %Sys32%\SPOOL\DRIVERS\W32X86\3\ZEZDDF32.EXE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr

delhst 66.85.174.29 m.odnoklassniki.ru
delhst 66.85.174.29 ok.ru
delhst 66.85.174.29 m.ok.ru
delhst 66.85.174.29 www.odnoklassniki.ru
;-------------------------------------------------------------

czoo
restart

[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/