предположительно js
и еще раз напоминаю - проверьте входящую почту менеджера (если конечно он пользуется например оутлуком или thunderbird), который работал на данном компе за 11апреля. обратите внимание на вложения сообщений
и вот это прочитайте
[URL=http://chklst.ru/discussion/1481/vault-chto-delat#latest]http://chklst.ru/discussion/1481/vault-chto-delat#latest[/URL] [/QUOTE]
Читал уже тышу раз( раз даже моя контора попала на шифровщик, но не вытащили нечего.
Я уже чуть ли иголки в пальцы не вставлял когда спрашивал, говорят нечего не трогали, там 3389 открыт, может через него вломились?
У одного пользователя которого я подозреваю,вообще история в браузере девственная. Бред, и права у него обрезанные