Enigme: Klez non conforme a description

Bonsoir à tous

Résumé: Klez.e est detecté par un moniteur (antivir PE) mais
impossible à localiser avec un scan (antivir, F-Prot) ou avec
des désinfectants (clrav Kaspersky, stinger Mac Afee,
fixklez Symantec).

Détails:
Tout d'abord ceci est plus une énigme qu'un problème. La
machine appartient à une amie qui m'a mandaté pour l'installer.
Je n'y ai donc qu'un accès épisodique.
Cette machine a été rachetée à une société avc les logiciels
installés. J'ai désinstallé certains logiciels, supprimé les partages
réseaux, installé une connexion internet, un pare-feu (look'n
stop lite) et antivir, puis mis à jour ce que je pouvais (antivir
et W98). L'usage de cette machine est principalement
ludique avec aucune données importantes dessus.

L'utilisatrice m'a rapportée l'activation du moniteur le 16 mars.
J'ai reproduit le lendemain cette activation: Klez.e détecté dans
8 fichiers .tmp situés dans c:/windows/temp . Suppression des
fichiers, redémarrage en mode sans échec, scan avec antivir: RAS.
Redémarrage sur disquette saine W98 et F-Prot à jour: RAS.
Le surlendemain je reviens avec 3 fix sur disquette protégée en
écriture (clrav Kaspersky, stinger Mac Afee, fixklez Symantec).
Je suis les procédures d'utilisation: RAS (Rien A Signaler). Je
redémarre en mode normal et après 5 minutes alerte du moniteur:
Klez.e sur toujours le même type de fichiers (.tmp). Je redémarre
en mode sans échec, regedit, je recherche les clés
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\Current Version\Run de type wink : aucune occurence.
L'ordinateur ne contenant pas de données importantes, je décide
de supprimer le moniteur et de voir les effets après quelques jours
d'utilisation. Apres une semaine qui a comporté 5 démarrages, je
démarre normalement et je lance le fix Kaspersky quelques
minutes: il me supprime un fichier unique .tmp (Klez.e) dans
C:/windows/temp et ne me donne aucune autre information.
Je réactive le moniteur antivir et les mêmes symptômes
réapparaissent: détection et suppression de quelques fichiers .tmp
puis plus rien jusqu'à l'extinction de la machine.
Scans stériles (y compris avec AV en ligne: Trend).

Je me pose les questions suivantes:
* L'utilisatrice ne souvient pas avoir utilisé la machine entre le 13
et le 16 mars. Il me semble avoir lu que Klez s'activait le 13 mars
donc cela serait bien en faveur de Klez.
* Les fichiers .tmp possédant la signature Klez sont bien construits
par un executable et éventuellement un fichier de données: pourquoi
aucun fichier n'est détecté au scan ?
(options tous fichiers et décompression activées)
* Le mode de réplication documenté par Symantec ne fait pas état
de fichiers .tmp
* Le code détecté ne pourrait-il venir d'une autre base de signatures
virales: Norton AV était installé, j'ai désactivé le moniteur avant
l'installation d'antivir et il ne parait pas actif.
(je ne peux le desinstaller car la société vendeuse de la machine est
incapable de nous fournir le code nécessaire à la désinstallation.
Si quelqu'un peut me donner un lien ou une astuce, il me paraît logique
qu'elle ne soit pas dispo sur le site de l'éditeur car ce code est censé
prévenir une désinstallation sauvage par l'utilisateur)
* Peut-on trouver des infections "décapitées" comme dans le monde
biologique ? (par exemple avec un code de réplication actif et incorporé
à un éxecutable mais avec une payload altérée ou un code de réplication
altéré qui aboutit à une impasse)
* Peut-être n'ai-je rien compris à Klez-Elkern. Dans ce cas-là, veuillez
accepter mes humbles excuses pour la longue lecture que je vous ai
fournie.

Dans tous les cas, je suis ouvert à toute suggestions sur ce cas qui attise
ma curiosité mais qui est loin d'être critique (machine ludique isolée
sans données importantes).

Merci de m'avoir lu jusqu'ici

PS: je reposte car je ne retrouve pas mon post sur news.free.fr le
lendemain. J'ai néanmoins pu le lire sur news.club-internet.fr avec
slrn et un terminal 80 colonnes: pagination abominable.
Je ne suis pas habitué à poster depuis OE, j'ai essayé de corriger
le tir.