AVZ перехваты функций

Windows server 2016 - терминальный сервер.
Вчера у всех пользователей, кроме админов вылезло сообщение о нелицензионности, через 2 минуты сервер будет выключен, данные затёрты и что-то про немытые руки). Заскринить не успели. Сервер таки выключился, после включения всё норм, кроме того что журналы винды оказались удалёнными..

Проверил файлы утилитой от каспера, нашло только один вирус (вирус ли он, скорее активатор) C:\Windows\OInstall.exe - HackTool.Win32.KMSAuto.ep

Накатил последнии заплатки, но всё равно не спокойно

Сегодня запустил AVZ:

Протокол антивирусной утилиты AVZ версии 4.46
Сканирование запущено в 20.02.2019 10:44:42
Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 20.02.2019 04:00
Загружены микропрограммы эвристики: 404
Загружены микропрограммы ИПУ: 10
Загружены цифровые подписи системных файлов: 1046795
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 10.0.14393, "Windows Server 2016 Standard", дата инсталляции 29.11.2018 14:09:11 ; AVZ работает с правами администратора (+),AVZ запущен из терминальной сессии (RDP-Tcp#73)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
>>>> Подозрение на маскировку файла процесса: c:\windows\system32\hasplms.exe
>>>> Подозрение на маскировку файла процесса: c:\windows\system32\hasplmv.exe
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
[B]Функция kernel32.dll:ReadConsoleInputExA (1115) перехвачена, метод ProcAddressHijack.GetProcAddress ->7706AC61->771E30D0[/B]
[B]Функция kernel32.dll:ReadConsoleInputExW (1116) перехвачена, метод ProcAddressHijack.GetProcAddress ->7706AC94->771E3100[/B]
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
[B]Функция user32.dll:Wow64Transition (1503) перехвачена, метод CodeHijack (метод не определен)[/B]
Анализ advapi32.dll, таблица экспорта найдена в секции .text
[B]Функция advapi32.dll:CveEventWrite (1233) перехвачена, метод ProcAddressHijack.GetProcAddress ->77382ED2->772003D0[/B]
[B]Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1386) перехвачена, метод ProcAddressHijack.GetProcAddress ->77383DF9->7668AD60[/B]
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
[B]Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->73FAC40A->55480D40[/B]
[B]Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->73FAC439->554810B0[/B]
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 177
Количество загруженных модулей: 366
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP NameSpace: "@%SystemRoot%\system32\napinsp.dll,-1000" --> отсутствует файл C:\Users\Alex\WINDOWS\system32\napinsp.dll
Ошибка LSP NameSpace: "@%SystemRoot%\system32\wshtcpip.dll,-60103" --> отсутствует файл C:\Users\Alex\WINDOWS\System32\mswsock.dll
Ошибка LSP NameSpace: "@%SystemRoot%\System32\winrnr.dll,-1000" --> отсутствует файл C:\Users\Alex\WINDOWS\System32\winrnr.dll
Ошибка LSP NameSpace: "@%SystemRoot%\system32\nlasvc.dll,-1000" --> отсутствует файл C:\Users\Alex\WINDOWS\system32\NLAapi.dll
Ошибка LSP Protocol = "Hyper-V RAW" --> отсутствует файл C:\Users\Alex\WINDOWS\system32\mswsock.dll
Ошибка LSP Protocol = "@%SystemRoot%\System32\mswsock.dll,-60100" --> отсутствует файл C:\Users\Alex\WINDOWS\system32\mswsock.dll
Ошибка LSP Protocol = "@%SystemRoot%\System32\mswsock.dll,-60101" --> отсутствует файл C:\Users\Alex\WINDOWS\system32\mswsock.dll
Ошибка LSP Protocol = "@%SystemRoot%\System32\mswsock.dll,-60102" --> отсутствует файл C:\Users\Alex\WINDOWS\system32\mswsock.dll
Ошибка LSP Protocol = "@%SystemRoot%\System32\mswsock.dll,-60200" --> отсутствует файл C:\Users\Alex\WINDOWS\system32\mswsock.dll
Ошибка LSP Protocol = "@%SystemRoot%\System32\mswsock.dll,-60201" --> отсутствует файл C:\Users\Alex\WINDOWS\system32\mswsock.dll
Ошибка LSP Protocol = "@%SystemRoot%\System32\mswsock.dll,-60202" --> отсутствует файл C:\Users\Alex\WINDOWS\system32\mswsock.dll
Ошибка LSP Protocol = "@%SystemRoot%\System32\wshqos.dll,-100" --> отсутствует файл C:\Users\Alex\WINDOWS\system32\mswsock.dll
Ошибка LSP Protocol = "@%SystemRoot%\System32\wshqos.dll,-101" --> отсутствует файл C:\Users\Alex\WINDOWS\system32\mswsock.dll
Ошибка LSP Protocol = "@%SystemRoot%\System32\wshqos.dll,-102" --> отсутствует файл C:\Users\Alex\WINDOWS\system32\mswsock.dll
Ошибка LSP Protocol = "@%SystemRoot%\System32\wshqos.dll,-103" --> отсутствует файл C:\Users\Alex\WINDOWS\system32\mswsock.dll
Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 15

Смущает то, что выделил жирным, в AVZ - красное

и ещё момент, если запустить эвристическую проверку то AVZ вылетает. Запускаю от админской учётки...

Уважаемый(ая) [B]-Pioner-[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Архив с логом из консоли

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

При сканировании из консоли похоже всё норм)

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Хотя не пойму, если обычным скачанным Avz из консоли запустить с отключеннім антивирусом, то перехваты есть

На перехваты не обращайте внимание.
Выглядит, как чья-то неумная шутка, но точно ничего не пропало? Просмотрите секции "Цель не существует" в Check_Browsers_LNK.log, если так и должно быть - перетащите лог Check_Browsers_LNK.log из папки Autologger на [url=http://dragokas.com/tools/ClearLNK.zip]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.
В остальном порядок.