Clés infectées impossibles à supprimer
sKe69
Messages postés
21955
Statut
Contributeur sécurité
-
sKe69 Messages postés 21955 Statut Contributeur sécurité -
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Salut,
comme je débute dans la désinfection, je solicite l'aide des pros ^^ ... j'ai un topic ou je galère et a mon avis cela devrais être intéressant pour certains d'entre vous ... ^^
Voilà le topic en question :
http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008#1
Mon soucis est que je n'arrive pas à supprimer les clés de ces objets infectieux :
O2 - BHO: (no name) - {B56F637C-8AF9-43FA-A31B-935F967A00CC} - C:\WINDOWS\system32\comdlg32e.dll (file missing)
...
O2 - BHO: (no name) - {FA566E27-2B42-422B-9370-B1157205F1E1} - c:\windows\system32\dbnmpntwb.dll (file missing)
...
O20 - Winlogon Notify: kswhazex - dbnmpntwb.dll (file missing)
J'avais bien, à tors, pensé à Vundo mais après avoir eu des difficultés, j'ai fais analysé ces dll sur Virus Total et effectivement , rien à voire :p ...
j'ai essayé avec CFSript et avec Hijackthis , mais rien y fais ...
j'ai du loupé quelque chose où ...
Si quelques experts peuvent jeter un cil ...merci =)
A+
comme je débute dans la désinfection, je solicite l'aide des pros ^^ ... j'ai un topic ou je galère et a mon avis cela devrais être intéressant pour certains d'entre vous ... ^^
Voilà le topic en question :
http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008#1
Mon soucis est que je n'arrive pas à supprimer les clés de ces objets infectieux :
O2 - BHO: (no name) - {B56F637C-8AF9-43FA-A31B-935F967A00CC} - C:\WINDOWS\system32\comdlg32e.dll (file missing)
...
O2 - BHO: (no name) - {FA566E27-2B42-422B-9370-B1157205F1E1} - c:\windows\system32\dbnmpntwb.dll (file missing)
...
O20 - Winlogon Notify: kswhazex - dbnmpntwb.dll (file missing)
J'avais bien, à tors, pensé à Vundo mais après avoir eu des difficultés, j'ai fais analysé ces dll sur Virus Total et effectivement , rien à voire :p ...
j'ai essayé avec CFSript et avec Hijackthis , mais rien y fais ...
j'ai du loupé quelque chose où ...
Si quelques experts peuvent jeter un cil ...merci =)
A+
A voir également:
- Clés infectées impossibles à supprimer
- Supprimer rond bleu whatsapp - Guide
- Fichier impossible à supprimer - Guide
- Supprimer page word - Guide
- Supprimer pub youtube - Accueil - Streaming
- Cles windows 10 - Guide
18 réponses
si tu ne dais faire fonctionne Hijackthis
alors je ne peux pas t'aider
alors je ne peux pas t'aider
Si tu regardes bien le topic complet , je lui ai fait fixer ces lignes ! et que dale ... elle sont tjrs là ...
http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=4#70
Autre chose ?
http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=4#70
Autre chose ?
Salut
de passage rapide, tu peux me coller le script de combo, peut être une erreur de syntaxe ?
@+
;-)
de passage rapide, tu peux me coller le script de combo, peut être une erreur de syntaxe ?
@+
;-)
merci :)
c'est ici : http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=4#76
et le script :
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B56F637C-8AF9-43FA-A31B-935F967A00CC}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FA566E27-2B42-422B-9370-B1157205F1E1}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\kswhazex]
Voilà ...
c'est ici : http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=4#76
et le script :
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B56F637C-8AF9-43FA-A31B-935F967A00CC}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FA566E27-2B42-422B-9370-B1157205F1E1}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\kswhazex]
Voilà ...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ah
je vois effectivement
le probleme se complique
bien sur r'assure moi
tu met bien ls croix dans les cases quand tu fixe les lignes dans Hijackthis
sinon
regarde cette adresse cela peut d'aider
http://www.malekal.com/index.php
ah n'oublie pas que les pros se font payer
il n'y a que des volontaires dans les forums
enfin je crois
allez passe une bonne journée
et revient nous voir si tu te pose encore des problemes
et si nous pouvons t'aider
je vois effectivement
le probleme se complique
bien sur r'assure moi
tu met bien ls croix dans les cases quand tu fixe les lignes dans Hijackthis
sinon
regarde cette adresse cela peut d'aider
http://www.malekal.com/index.php
ah n'oublie pas que les pros se font payer
il n'y a que des volontaires dans les forums
enfin je crois
allez passe une bonne journée
et revient nous voir si tu te pose encore des problemes
et si nous pouvons t'aider
Est-ce que tu as passé SDfix ?
il faut aussi supprime les fichiers associés aux clés avec la commande file::
je reviens plus tard,@+
il faut aussi supprime les fichiers associés aux clés avec la commande file::
je reviens plus tard,@+
C'est ce que j'avais fait au début :
http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=2#40
mais cela n'a pas fonctionner ...
Ensuite je lui est fait changer d'AV ( ce que je fais rarement en cours de désinfection ) : virer Avast pour AntiVir .
Ce dernier à mis les dll en quarantaine, mais les clé sont toujours là et bien accrochées !
http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=2#40
mais cela n'a pas fonctionner ...
Ensuite je lui est fait changer d'AV ( ce que je fais rarement en cours de désinfection ) : virer Avast pour AntiVir .
Ce dernier à mis les dll en quarantaine, mais les clé sont toujours là et bien accrochées !
Salut Ske ,
Tu peux tenter OtmoveIt avec :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B56F637C-8AF9-43FA-A31B-935F967A00CC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FA566E27-2B42-422B-9370-B1157205F1E1}
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\kswhazex
A+
Tu peux tenter OtmoveIt avec :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B56F637C-8AF9-43FA-A31B-935F967A00CC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FA566E27-2B42-422B-9370-B1157205F1E1}
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\kswhazex
A+
Salut ;)
en dernier recours , j'y avais bien pensé ... en espérent que le helpé s'en sorte , son PC est assez instable ...
jettes un cil sur le résultat de VirusTotal , cela pourra peut-être t'inspiré :
http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=2#36 et les deux suivants ...
en dernier recours , j'y avais bien pensé ... en espérent que le helpé s'en sorte , son PC est assez instable ...
jettes un cil sur le résultat de VirusTotal , cela pourra peut-être t'inspiré :
http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=2#36 et les deux suivants ...
s'est le genre de truc
que si tu touche a cela
tu peux bousillé definitivement windows
et le reste aussi
j'ai deja testé
et j'ai du faire un formatage complet apres
que si tu touche a cela
tu peux bousillé definitivement windows
et le reste aussi
j'ai deja testé
et j'ai du faire un formatage complet apres
Re,
sKe :
A la fin du comboscan :
R0 ubqgamqy;ubqgamqy;C:\WINDOWS\system32\drivers\ubqgamqy.sys [2004-08-05 14:00]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
mpbcwszj
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e568e942-b240-11dc-8f6c-806d6172696f}]
\Shell\AutoRun\command - D:\Setup.exe
Cékoiça ?
Peut être un virustotal sur D:\Setup.exe ?
sKe :
A la fin du comboscan :
R0 ubqgamqy;ubqgamqy;C:\WINDOWS\system32\drivers\ubqgamqy.sys [2004-08-05 14:00]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
mpbcwszj
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e568e942-b240-11dc-8f6c-806d6172696f}]
\Shell\AutoRun\command - D:\Setup.exe
Cékoiça ?
Peut être un virustotal sur D:\Setup.exe ?
j'ai bien tenté de supprimer cette clé aussi mais sans succès !
---> http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=2#28
mais pour la vérife sur Virustotal , pas penser lol
Pour une autre idée de script , DllD , je suis bien évidemment preneur !
A noter que pour l'instant , plus de nouvel de l'helpé ... j'espère qu'il na pas baisser les bras ... :-/
---> http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=2#28
mais pour la vérife sur Virustotal , pas penser lol
Pour une autre idée de script , DllD , je suis bien évidemment preneur !
A noter que pour l'instant , plus de nouvel de l'helpé ... j'espère qu'il na pas baisser les bras ... :-/
Ok,
attendons qu'il revienne...
Par contre ce driver ubqgamqy.sys est plus que louche :
https://www.google.fr/search?hl=fr&q=ubqgamqy.sys&btnG=Recherche+Google&meta=&gws_rd=ssl
Il parle d'un trojan (et oui : je lis le chinois :D)
Je le ferai passer chez Virustotal...
En fait il y a beaucoup de choses louches et certaines ont disparues du Combo sans que je comprenne pourquoi...
A+
attendons qu'il revienne...
Par contre ce driver ubqgamqy.sys est plus que louche :
https://www.google.fr/search?hl=fr&q=ubqgamqy.sys&btnG=Recherche+Google&meta=&gws_rd=ssl
Il parle d'un trojan (et oui : je lis le chinois :D)
Je le ferai passer chez Virustotal...
En fait il y a beaucoup de choses louches et certaines ont disparues du Combo sans que je comprenne pourquoi...
A+
autre chose qui m'interpelle :
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B56F637C-8AF9-43FA-A31B-935F967A00CC}]
2004-08-05 14:00 88064 --a------ C:\WINDOWS\system32\comdlg32e.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FA566E27-2B42-422B-9370-B1157205F1E1}]
2004-08-05 14:00 84992 --a------ c:\windows\system32\dbnmpntwb.dll
...
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\kswhazex]
dbnmpntwb.dll 2004-08-05 14:00 84992 C:\WINDOWS\system32\dbnmpntwb.dll
c'est pas tout jeune non ? ou c'est fictif comme date ???
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B56F637C-8AF9-43FA-A31B-935F967A00CC}]
2004-08-05 14:00 88064 --a------ C:\WINDOWS\system32\comdlg32e.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FA566E27-2B42-422B-9370-B1157205F1E1}]
2004-08-05 14:00 84992 --a------ c:\windows\system32\dbnmpntwb.dll
...
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\kswhazex]
dbnmpntwb.dll 2004-08-05 14:00 84992 C:\WINDOWS\system32\dbnmpntwb.dll
c'est pas tout jeune non ? ou c'est fictif comme date ???
Non,
tu as raison : je ne crois pas qu'il y ai de chivre dans les noms de fichier vundo.
Mais les fichiers sont encore là : http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=2#41
Perso,
j'aime pas ce mot mais FORMATAGE.
Il est tellement parasité que des fichiers doivent être manquants ou endommagés...
A partir du moment où un PC a été infecté, il n'est plus fiable. Alors pour lui....
Mais je suis partant pour faire un script quand même...
tu as raison : je ne crois pas qu'il y ai de chivre dans les noms de fichier vundo.
Mais les fichiers sont encore là : http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=2#41
Perso,
j'aime pas ce mot mais FORMATAGE.
Il est tellement parasité que des fichiers doivent être manquants ou endommagés...
A partir du moment où un PC a été infecté, il n'est plus fiable. Alors pour lui....
Mais je suis partant pour faire un script quand même...
Mais les fichiers sont encore là ->Oui , c'est bien là le prb ;)
Sinon regardes , c'est peut-être anodin mais au point où on en est :
C:\WINDOWS\system32\84psjwcuuxz.exe
C:\WINDOWS\system32\comdlg32e.dll
C:\windows\system32\dbnmpntwb.dll
"Windows" en Majuscule puis en Minuscule pour le dernier ... une idée ?...
Sinon regardes , c'est peut-être anodin mais au point où on en est :
C:\WINDOWS\system32\84psjwcuuxz.exe
C:\WINDOWS\system32\comdlg32e.dll
C:\windows\system32\dbnmpntwb.dll
"Windows" en Majuscule puis en Minuscule pour le dernier ... une idée ?...
Bonjour,
même si il n'est pas revenu.
D'abord, un script Combo peut échouer et OTMoveIt fonctionner (ou inversement) parce que les mécanismes de destruction ne sont pas identiques (au passage, ce sont les informmions sur ces mécanismes que les auteurs des outils cherchent à protéger).
Ensuite, DllD a très probablement raison sur les 3 items qu'il a donné. Ce sont les causes probables.
Par contre ce qu'il qualifie de Vundo est plus probablement un Delf et il est protégé par le pilote en .sys.
Tu avais fait passer SDFix ?
Dernier point, il me semble qu'il a une vieille version de SmitFraudFix qui traîne. Ancien taritement qui n'a pas enlevé l'outil, initiative personelle ? Tu as vérifié que la version qu'il a utilisé à ta demande était bien la dernière ?
même si il n'est pas revenu.
D'abord, un script Combo peut échouer et OTMoveIt fonctionner (ou inversement) parce que les mécanismes de destruction ne sont pas identiques (au passage, ce sont les informmions sur ces mécanismes que les auteurs des outils cherchent à protéger).
Ensuite, DllD a très probablement raison sur les 3 items qu'il a donné. Ce sont les causes probables.
Par contre ce qu'il qualifie de Vundo est plus probablement un Delf et il est protégé par le pilote en .sys.
Tu avais fait passer SDFix ?
Dernier point, il me semble qu'il a une vieille version de SmitFraudFix qui traîne. Ancien taritement qui n'a pas enlevé l'outil, initiative personelle ? Tu as vérifié que la version qu'il a utilisé à ta demande était bien la dernière ?
Salut,
Pour ce que m' a suggérer DllD , tout à fais d'accord , mauvaise analyse de ma part , cela aurais du m'interpeler de suite...
Tu avais fait passer SDFix ? oui , ici :
http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008#13
Et pour Smithfraud , cela n'a rien donner :
http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=4#80
Et c'est bien la dernière version en date non ? La 2.328 ...
Et pour OTMoveIt ... malheureusement , pas eu le temps d'essayer ^^
Pour ce que m' a suggérer DllD , tout à fais d'accord , mauvaise analyse de ma part , cela aurais du m'interpeler de suite...
Tu avais fait passer SDFix ? oui , ici :
http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008#13
Et pour Smithfraud , cela n'a rien donner :
http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=4#80
Et c'est bien la dernière version en date non ? La 2.328 ...
Et pour OTMoveIt ... malheureusement , pas eu le temps d'essayer ^^
Re,
je ne critique pas, je fais une analyse pour progresser.
Clairement, il faut fermer le driver pour s'en sortir.
Au passage, la casse est indifférente (WINDOWs, windows).
L'intérêt du topic est que on ne peut pas s'en sortir avec Hijackthis tout seul et que DSS fournit les infos complémentaires (qui sont dans la liste des drivers).
Il y a d'autres outils que DSS pour montrer les informations pertinentes. Mais tous listent les drivers.
je ne critique pas, je fais une analyse pour progresser.
Clairement, il faut fermer le driver pour s'en sortir.
Au passage, la casse est indifférente (WINDOWs, windows).
L'intérêt du topic est que on ne peut pas s'en sortir avec Hijackthis tout seul et que DSS fournit les infos complémentaires (qui sont dans la liste des drivers).
Il y a d'autres outils que DSS pour montrer les informations pertinentes. Mais tous listent les drivers.
re,
peut-être là :
Le rapport Smithfraud du post 80 :
SmitFraudFix v2.328
Rapport fait à 0:03:05,34, 25/06/2008
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\SECURI~1\174112\Program\SERVIC~1.EXE
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\fswsclds.exe
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\PROGRA~1\SECURI~1\174112\Program\BACKWE~1.EXE
C:\Program Files\F-Secure\Common\FSGK32.EXE
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Orange\systray\systrayapp.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\WINDOWS\System32\svchost.exe
E:\OFFICE11\WINWORD.EXE
C:\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
.....
" WINWORD.EXE " ---> https://www.bleepingcomputer.com/startups/WINWORD.EXE-21308.html
non ?....
peut-être là :
Le rapport Smithfraud du post 80 :
SmitFraudFix v2.328
Rapport fait à 0:03:05,34, 25/06/2008
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\SECURI~1\174112\Program\SERVIC~1.EXE
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\fswsclds.exe
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\PROGRA~1\SECURI~1\174112\Program\BACKWE~1.EXE
C:\Program Files\F-Secure\Common\FSGK32.EXE
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Orange\systray\systrayapp.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\WINDOWS\System32\svchost.exe
E:\OFFICE11\WINWORD.EXE
C:\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
.....
" WINWORD.EXE " ---> https://www.bleepingcomputer.com/startups/WINWORD.EXE-21308.html
non ?....
;-)