svchost.exe коннект к 78.159.112.36

Процес Експлорером был замечен svchost.exe и wmiprvse.exe, на которых не висит ни одна служба. В свою очередь они дочерние к svchost.exe которым запускается Сервис: Запуск серверных процессов ДКОМ. Аутпостом пишет что svchost.exe соеденяется с 78.159.112.36. - после принудительного кила дочернего хоста подключения перестают происходить. Обновленный Др.Веб ничего не нашел.
wmiprvse.exe выделен красным в Процесс експлорере и бывает то 1 то 2 дубликата.

История логов:
Первый раз когда делал проверку Хил\Карантин и Адвансед анализ в процессах не висел wmiprvse.exe - но в карантин было помещено 4 файла. Я перезагрузился и в процессы полез wmiprvse.exe, после чего я решил сделать еще раз Хил\карантин и Адвансед анализ, но новых обьектов в карантин уже не было добавлено.

Прикрепленные логи - это результат второй серии проверок - с wmiprvse.exe в процессах.

выполнте скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\basetev32.dll','');
DeleteFile('C:\WINDOWS\system32\basetev32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи

Карантин выслан, логи обновил

В логах чисто...

спасибо, svchost.exe после этих действий уже не конектится к вышеописаному Айпи.

но wmiprvse.exe все еще есть: сразу после ребута их 2 дубликата, через какое-то время - один. и самое интересное что они красным светятся, как в режиме закрытия.

в приложении кусок скрина из процесс експлорера.

WMIPRVSE.exe - это относится к по принтера ...