Observando el Monitor de recursos de Windows me encontré con una actividad de red extraña, al parecer algunos procesos como el del messenger se estaban comunicando con el sitio 007guard:
Pensé que el sistema estaba infectado porque el sitio 007guard es malicioso como se puede ver en SiteAdvisor, sin embargo no se trataba de una infección ni una conexión real con esa dirección, sino de una lectura del archivo hosts por parte de la herramienta de Windows.
Hace unos días había inmunizado el sistema con Spybot – Search & Destroy y en el archivo hosts de Windows se habían bloqueado miles de sitios peligrosos. El primer sitio bloqueado de la lista es 007guard y por eso aparece en la lectura del monitor:
Si se cambia la primer línea del hosts para bloquear otro sitio, parecerá que los procesos se están comunicando con ese otro sitio. Esto puede dar lugar a confusiones cuando se utiliza el monitor de recursos o el comando netstat para buscar malwares, pero solucionarlo es muy sencillo.
Simplemente se debe agregar 127.0.0.1 localhost en la primer línea del hosts, como se puede ver en la siguiente imagen:
Por aquí puedes encontrar los pasos para editar el archivo hosts.