Началось в колхозе утро, подумал я.

После загрузки рабочего стола пользователя появляется файлик открытый в notepad-е: зашли нам денюшков а мы тебе все разблокируем.
Но файлы пользователя на месте, на файловом сервере следов жизнедеятельности заразы нет. Уже легче, но актуальность backup-ов таки проверил.
Итого, чего было.

Пользователь получил письмо. Outlook его заботливо положил в папку "Нежелательная почта". Его оттуда достали и прошли по ссылке. Когда внутри скачанного архива не нашли счетов, форварднули письмо на ресепшн и там тоже начали открывать. ПОУБЫВАВБЫ! Это было накануне.
Сайт утром уже не отзывался. Кеша в гугле для сайта не было. Домен на частном лице.
Registrant Fax: +73467234123
Registrant Fax Ext:
Registrant Email: fallinginlove87@mail.ru
Registry Admin ID:
Admin Name: Valerii Rubakov
Admin Organization: Private Person
Admin Street: Lenina str, 26-1
Admin City: Moskva
Что было в Scheta-04.2015_compressed.zip уже не найдешь. Скорее всего сценарий который тянет во временную папку весь комплект гадостей.

Каспер это все прочухал и поудалял на взлете. Идентифицировал как PDM:Trojan.Win32.Generic. Не удаленной осталась только ссылка в реестре на показ текcтового сообщения. Удалил руками.

Вот такая вот история со счастливым концом, малята.