3/24/2010

Eliminare 007guard.com

Andando sul command propt di windos e digitando netstat -a sono spuntate delle strane connessioni al sito 007guard.com. Ecco il log della parte incriminata:

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\Documents and Settings\ilsofista>netstat -a

Active Connections

  Proto  Local Address          Foreign Address        State
  LISTENING
  TCP    yy-ilsofista:1156          007guard.com:1157      ESTABLISHED
  TCP    yy-ilsofista:1157          007guard.com:1156      ESTABLISHED
  TCP    yy-ilsofista:1165          007guard.com:1166      ESTABLISHED
  TCP    yy-ilsofista:1166          007guard.com:1165      ESTABLISHED
 
  TCP    yy-ilsofista:5152          007guard.com:3898      CLOSE_WAIT


La cosa inquietante che qualsiasi programma aperto che avesse una connessione su internet come skype, firefox o altri aveva una porta in comunicazione con questo fantomatico sito. Ho fatto varie ricerche su forum e ho trovato le soluzioni più disparate per rimuovere questo "virus".

SOLUZIONE: non è un virus. In realtà si tratta solo di un file di sistema di windows che blocca i siti malevoli. Nel mio caso era stato il programma Spybot - Search & Destroy a creare la lista di siti malevoli che vengono bloccati se si cerca di raggiungerli tramite browser o altro.
PER RISOLVERE (in realtà potete anche lasciare le cose come stanno): 
1) entrare nella cartella C:\WINDOWS\system32\drivers\etc
2) rinominare il file hosts (senza estensione ) in hosts.txt
3) aprirlo con il blocco note
4) aggiungere come prima riga 127.0.0.1 localhost
5) salvare
6) rinominare il file eliminando l'estensione txt 
7) fatto


Il file host ora dovrebbe essere come questo (metto le primissime righe):
# Start of entries inserted by Spybot - Search & Destroy
# This list is Copyright 2000-2008 Safer Networking Limited
127.0.0.1       localhost
127.0.0.1    007guard.com
127.0.0.1    www.007guard.com
127.0.0.1    008i.com
127.0.0.1    008k.com
127.0.0.1    www.008k.com
127.0.0.1    00hq.com
127.0.0.1    www.00hq.com

Facendo netstat -a ora troverete localhost al posto di 007guard.com

Saludos, vado a sperimentare con la polaroid!

 

1 commento:

Anonimo ha detto...

Se installate spybot e abilitate la protezione del file host, questo di inserisce dei siti pericolosi associati a localhost, in modo da non poterli + raggiungere !!!
quindi nulla di strano !
se fate ping -a 127.0.0.1 vi restituirà il primo della lista inserito ovvero www.007guard.com !
bye bye.

Related Posts with Thumbnails