Problème de Rootkit sur les microgiciels de la carte-mère + SSD

Signaler
Messages postés
4
Date d'inscription
dimanche 28 mars 2021
Statut
Membre
Dernière intervention
30 mars 2021
-
Messages postés
4
Date d'inscription
dimanche 28 mars 2021
Statut
Membre
Dernière intervention
30 mars 2021
-
Bonjour, j'espère que je poste ma question dans la bonne section. Excusez-moi de l'extrème longueur, c'est très compliqué et je désespère de trouver une solution efficace sans racheter un ordinateur complet.

J'ai un problème récurrent de Rootkit sur mes ordis depuis 20 ans (Windows XP, 7 , 10) et maintenant Linux Ubuntu Studio 20.10 installé depuis 2 semaines, en vain.

Linux est très compliqué, pas de support pour ma version (pas une Long Term Service (la dernière est 20.04)), aucun résultat pertinent dans Google aux multiples problèmes audio/vidéo que je rencontre depuis 2 semaines, les questions posées sur différents forums n'on apporté aucune aide ni réponse (juste des commentaires sur comment ne PAS poser la question: ils ne croient même pas qu'un manuel d'utilisation est utile. Je ne comprends RIEN à leur mentalité!).

En plus, il semble que la seule manière d'avoir accès aux logiciels de production audio de qualité que j'avais sous Windows (Cubase pro, Band in a Box, Finale) soit d'installer un émulateur de Windows (avec les problèmes de sécurité associés). Après en avoir installé un, m'être rendu compte que ça ne ferait probablement pas l'affaire et l'avoir désinstallé, mon système a encore plus de problème (VLC fonctionne mal, j'ai installé MPV qui fonctionne mieux mais a moins de fonctionnalités).

Bref, je crois que la meilleure solution est de revenir à Windows dès que possible.

Le hic?
Ma carte-mère est infectée par un ROOTKIT vicieux qui ne veux pas disparaître et probablement plusieurs autres logiciels malveillants (récemment un powershell malware, sous Windows dès que j'arrivais sur le bureau, une fenêtre noire s'ouvrait et se fermait: un script venait d'être passé mais quoi? J'étais déconnecté d'internet). Mon Windows 10 devenait de plus en plus difficile à manipuler, des paramètres devenaient inopérables, je ne pouvais plus désactiver des services natifs au démarrage depuis Ccleaner (exemple: svchost.exe -Unistack : permission refusée).

J'avais gardé deux disques externes de données, un depuis XP, l'autre depuis 7, et je me faisais probablement réinfecter à partir de là (en cliquant pour retirer le périphérique, j'avais souvent le message qu'un programme était en fonction ou un dossier ouvert, alors que non).

Avec Ccleaner, depuis plusieurs années, je voyais les logs de certains programmes, et ça m'a pris du temps à comprendre: ils étaient tous reliés à NGEN.EXE . Je ne me souviens plus du nom de tous les dossiers dans le dossier Windows, mais tous avaient le même log dont je pouvais parfois lire les .txt, mais qui me donnait "accès refusé" après quelques tentatives.

J'ai découvert par intuition comment me donner accès total dans les propriétés de sécurité (c'est compliqué, je ne sais pas comment j'ai fait!), je pouvais lire et même supprimer les dossiers et les fichiers .json, mais ils revenaient toujours au redémarrage de Windows 10. Et il y avait toujours un utilisateur "mystère" qui avait les autorisations spéciales, je ne pouvais pas les lui enlever, ni me les donner: rien à faire.

Tout ces programmes font la même chose et avaient le même log .txt que ngen.exe, qui commençait par:

"[Fusion], [GAC], 0"
"[WimBoot], [NotApp], 1"
Suivi par des propriétés du système à gauche et le chemin d'accès sur le C: à droite (je crois que le nombre 1 était aussi à doite, à la fin de la ligne).

Et la liste se rallongeait à mesure que le temps passait...

Si je ne me trompe pas, le Windows Boot Manager était "fusionné" avec NotApp, une version modifiée et piratable à distance par les hackers, activant de plus en plus de services piratés de windows (svchost, rpc, règle de parefeu commençant par @, etc)

La boutique ou j'ai acheté l'ordinateur il y a deux et demi n'a jamais réglé le problème efficacement (85$ à chaque fois), niaient tout ce que je leur disais à propos de ces logs: soit ils sont incompétents, soit escrocs, ou les deux. TOUTES les boutiques me disent "On sait quand ça commence, pas quand ça finit"! Aucune ne veut reconnaître le problème: ROOTKIT sur la carte-mère! On m'a même dit que les techniciens ne savaient pas flasher un BIOS. Non, impossible, 2 jours avant la personne à qui j'avais parlé m'avait dit le contraire.

Avec "netstat", branché à internet depuis 1 minute seulement sans rien faire, j'avais 70-80+ connections TCP: en vérifiant certaines addresses IP, la majorité étaient des clouds (Azure (Microsoft), Akamai, etc). C'est mon ordinateur qui demandait les connections. Les hackers utilisaient donc des services de clouds légitimes pour faire leur sale besogne, évitant de se faire repérer avec leur propre IP.

Présentement, avec Ubuntu, je ne sais pas exactement comment voir les processus qui roulent, mais une recherche sur wikipedia français me renseigne qu'il faut absolument faire le scan pour les rootkit à partir d'un environnement sain, et que même après avoir flashé le BIOS, le problème persisterait.

En février, j'avais enlevé tous les disques et mon BIOS fonctionnait au quart de tour, sans problème. Mais la date n'était pas exactement la même (numéro de version, jour et année oui, mais pas le mois) que celle donnée sur le site web de la carte.

Il y a deux semaines, j'ai flashé le BIOS à partir d'une clé USB, supposément la bonne version téléchargée à partir d'un ordi réputé sain (un ami qui a LINUX depuis plus de 30 ans, mais totalement mal informé à propos d'Ubuntu et les environnements graphiques sous LINUX, ils ne les utilisent pas). Sans succès, le mois n'a pas changé.

J'ai acheté un SSD tout neuf, l'ai branché et les mêmes problèmes sont revenus dans le BIOS: un clic ne suffisait pas toujours (deux ou trois clics nécessaires), CSM activé causait encore plus ce comportement, lancer l'EFI depuis un port USB donnait un message d'erreur "le Secure Boot est activé", mais il ne l'était pas (j'avais déjà trouvé l'astuce: réinstaller et désinstaller les clés, et là ça a fonctionné).

Tout d''abord la version de Ubuntu s'est lancée, mais roulait à partir de la clé USB. J'ai recommencé et installé, mais la seule option dans le BIOS qui me permettait de démarrer le système en mode CSM était: Boot Device Control : UEFI & Legacy / LAN: ignore (je ne boot pas d'internet) / Storage Device : (faudrait que je vérifie, je ne suis plus certain laquelle: Legacy ou UEFI) / PCI: ignore (je ne boot pas de la carte PCI non plus).

Notez que je ne suis pas spécialiste du BIOS, le manuel n'explique pas les options, je n'avais pas accès à internet pour les instructions (les café internet sont fermés à cause de la pandémie), et les indications sur les options dans le bas de la fenêtre du BIOS un peu trop succinte: je n'ai pas essayé de désactiver CSM, puisque les indications disaient "désactivé = boot sécurisé ou windows secure updates" et "activé: pour windows uefi ou systèmes ne supportant pas "quelque module que je ne comprends pas" (faudrait que je retourne voir, je n'ai pas vu si les options ont changé toutes seules, je n'ose pas par crainte d'une altération due au Rootkit qui rendrait mon système inopérant).

Peut-être ai-je fait une erreur, CSM doit peut-être être désactivé, mais lorsqu'activé, les options décrites ci-dessus étaient les seules rendant mon ordi fonctionnel et bootant Ubuntu (plus au démarrage un logo de ma carte-mère que je n'avais jamais vu avant).

Je ne savais pas non plus comment sécuriser le démarrage pour Ubuntu et mon ami LINUX non plus, il m'a dit qu'il avait essayé avec sa version et avait eu des problèmes. En plus, mon ami m'avait donné le "candidate release" au lieu de la version officielle.

Il y a beaucoup trop de bugs, ce n'est pas possible un système aussi capricieux: MAIS je suis persuadé que la source RÉELLE et PREMIÈRE est la carte-mère et ses rootkits. Il faut absolument me débarraser de ça en premier.

Pour le moment dans Ubuntu Studio à jour, j'ai internet qui fonctionne, la plupart des applis aussi , mais si je change quelque chose (pilote graphique, options du compositeur, installation et/ou désinstallation d'un module ou d'une application), ça bogue tout le système à plusieurs niveaux, notamment la fermeture/ouverture du système et la qualité vidéo revenue au mieux à 97% (d'abord les vidéos 1080p sur Youtube avaient l'air 480 gonflés).

Je suis probablement hacké à plusieurs niveaux: LINUX lui-même, je ne peux pas vérifier, le BIOS, peut-être la carte graphique, la mémoire vive (RAM pci), la carte réseau (LAN) , tout ce qui est microgiciel sur la carte potentiellement. Peut-être aussi ma vieille carte de son USB 2.0 qui a eu des ratés avec Windows en novembre dernier (j'avais tout éteint pendant 3 mois), mais je vais peut-être la changer car les convertisseurs ne sont plus très performants. Peut-être aussi mon lecteur/graveur CD/DVD externe USB, je ne sais pas s'il comporte un microgiciel piratable, ni comment vérifier. J'ai lu des cd et dvd fermés, mais je n'ai rien gravé et je ne sais pas si c'est possible qu'une gravure infecte le media si l'ordi est infecté (ça doit dépendre du degré d'infection, je présume).

DONC:
Je n'ai qu'un ordinateur, je n'ai pas les moyens de payer 1300$ pour en acheter un neuf, je ne peux aller dans aucune boutique ni faire venir un technicien d'un magasin, personne non plus de compétent qui apportera son ordi chez moi pour faire le travail, les pages de wiki sont vraiment très techniques, mais disent surtout: ça prend un démarrage en mode sécure depuis un autre environnement sain pour vérifier.

Il n'y a rien que je puisse tenter seul avec ma carte-mère infectée: toutes les clés USB ou disques durs que je branche à monordi sont infectés si je les branchent avant de l'allumer (j'ai installé Windows début février à partir d'une clé de magasin vieille de 2 ans: ça a marché UNE fois, malheureusement je l'ai oubliée, branchée, et retournant dans le BIOS les valeurs que je changeais revenait à leur ancienne valeur. Aucune autre installation à partir de cette clé n'a fonctionné correctement).

De plus, si je retourne à Windows 10 (H2O était la dernière mise à jour que je connais) pour récupérer mes programmes audio (et leur qualité de LOIN supérieure à ce qu'offre par défaut Ubuntu), la version complète ne se vend pas en magasin ici au Québec, seulement en version téléchargeable. Impossible de télécharger Windows depuis mon ordinateur infecté et faire une image sur clé USB sans risque.

Même ma clé USB (dongle) de Steinberg pour mes produits Cubase est potentiellement infectée... mais je pourrais en obtenir une autre à peu de frais je crois puis télécharger les programmes depuis leur site une fois mon ordi en bonne santé.

Pour l'antivirus: ma boutique m'a vendu Malwarebytes Premium en février dernier, encore une fois une license électronique sans fournir une copie physique, mais il était mal paramétré (ne détectait pas les rootkits par défaut) et prenait 10 secondes seulement pour l'analyse de 5000 fichiers, alors que Windows Defender analysait 150 000 fichiers et prenait 10-15 minutes! J'ai écrit au support de Malwarebytes vendredi, j'attends leur réponse dans les prochains jours ouvrables.

Ma boutique ne m'avait pas donné le disque de Windows 10 non plus, malgré leur prétention du contraire; ils installent à partir de la même clé pour tout le monde et donnent des licenses électroniques (et peut-être réinfectent si leur clé est infectée; ils m'ont engueulé et raccroché au nez quand je leur ai dit).

Mes mots de passe pour mes comptes courriels web sont potentiellement affectés aussi, et puisque depuis quelques années tous les comptes de tous les fournisseurs sont reliés à un autre (on n'avait pas le choix, et je n'ai pas de téléphone cellulaire), il est presque impossible de changer un mot de passe rapidement sans que les hackers le sachent. Il y a sûrement une solution, mais ça prend un ordi sain d'abord. Pour l'instant j'ai totallement vidé mes boîtes de réception remplie à craquer d'infos (des codes de différents programmes, dont celle de Ccleaner qui s'était infecté et me réclamait une clé pour mettre à jour, alors que ma version payée était encore valide).

Je ne sais pas si la version gratuite de Ccleaner est aussi efficace: leur site prétend que la payante va plus loin dans ses recherches, mais peut-être est-ce faux, renseignez-moi, s'il-vous-plaît.

À noter que GData est le meilleur antivirus que j'ai jamais eu, il détectait beaucoup plus de malware sur internet que les autres et sa base de données de virus beaucoup plus vaste. Mais lui aussi n'est disponible qu'en téléchargement. Je vais peut-être le racheter, si je peux régler le problème de la carte-mère.

Une fois que le rootkit est installé, il ne sera jamais détecté par AUCUN antivirus (puisque il est chargé avant toute autre chose), surtout de manière si profonde sur une carte-mère...

S'il-vous-plaît, quelqu'un, aidez-moi!!

Je ne sais plus quoi faire à part demander de l'aide dans ce forum.
J'espère que quelqu'un aura une solution.

Je suis sincèrement désolé si c'était long à lire... j'ai frustré beaucoup, mais maintenant je désespère...

Merci d'avoir lu jusqu'au bout.

3 réponses

Messages postés
2530
Date d'inscription
dimanche 19 décembre 2004
Statut
Membre
Dernière intervention
8 avril 2021
717
Salut

y a pas 10 solutions (ou plus...):
1- trouver l'origine du rootkit (s'il se trouve dans un disque dur ou autre clé USB etc...)
2- puisque le flashage de l'UEFI pose problème, rachète la même carte-mère et ré-installe avec le disque où sera installé Win seul OU BIEN garde cette carte-mère et ré-installe en mode BIOS (CSM activé et Secure boot désactivé)

Infos ici (entre autres) à moins que tu ne l'aies déjà lu:
https://www.eset.com/be-fr/uefi-rootkit-cyber-attack-discovered/


bye

Messages postés
4
Date d'inscription
dimanche 28 mars 2021
Statut
Membre
Dernière intervention
30 mars 2021

Bonjour didmed,

Merci énormément! Je suis sur la bonne piste après 2 semaines de recherche et 1 semaine de questions sur AskUbuntu infructueuse. Ça fait du bien! Désolé encore pour la longueur du commentaire...

J'ai mis la page ESET dans mes signets et vais la lire attentivement.

J'ajoute une information, puisque tu as l'air connaissant: J'ai créé un compte Utilisateur et changé le mot de passe du compte Administrateur, hors ligne; ça semble fonctionner beaucoup mieux sur ce compte pour la qualité vidéo (donc, bonne piste), reste le compositeur KDE Plasma qui bousille un tout petit peu l'affichage du texte, mais c'est mineur. Je ne me suis pas connecté avec le compte Root encore.

Par contre, le BIOS a eu le même comportement lorsque j'ai changé "CSM: Boot Device Control" de "UEFI & Legacy" à "UEFI only"; en appliquant les changements/redémarrer, l'ordi ne s'est pas éteint (normalement il doit s'éteindre avant de redémarrer). J'avais trouvé des trucs pour contourner le problème (désactiver CSM, installer de nouvelles clés et les désinstaller, appliquer changements/redémarrer, éteindre manuellement et rebooter en BIOS en ré-activant CSM en dernier, appliquer changements/redémarrer: si l'ordi s'éteint ça va bien. J'espère que ça va marcher).

Au démarrage de l'ordi, j'ai encore un logo de ma carte-mère qui s'affiche (ça ne faisait pas ça sous Windows dernièrement) avec en haut, à gauche, deux lignes bleues (on dirait que la première est plus grosse, puis c'est la deuxième qui devient plus grosse, mais ça se passe vite). Alors mon ordi est encore problématique au niveau BIOS et démarrage d'UbuntuStudio, je vais tester.

J'ai fait des recherches hier sur les rootkits:
En français: https://fr.wikipedia.org/wiki/Rootkit
En anglais: https://en.wikipedia.org/wiki/Rootkit

J'ai pas tout lu, juste en diagonale, les deux textes sont différents. J'ai cherché d'autres pages sur Google aussi.

ça peut se répandre à l'aide de virus/malware sur TOUT les microgiciels (firmware): BIOS, GPU, LAN, PCI, SSD et USB. Ça peut aussi infecter le noyau LINUX (le système utilisé en ce moment). Très difficile de s'en débarraser à partir de l'ordinateur infecté, comme tu le mentionnes, il faudrait acheter une autre carte-mère identique, peut-être aussi les cartes infectées (je ne sais pas tout est encore disponible... le power supply et le chassis + les connecteurs seront-ils compatibles?) et un nouveau SSD, puis réinstaller l'OS.

Donc pour commenter ta réponse (très utile!) :
1 - le rootkit est partout (peut-être y en a-t-il plusieurs + virus/malwares?). Je peux racheter une clé pour mes produits audio ("dongle"), un SSD c'est 110$ avec taxes, c'est encore possible, mais la carte-mère et les composantes (si nécessaire) plus l'installation... J'ai déjà mentionné qu'il n'y a aucun magasin de confiance/compétence dans ma ville (pour mon "hack" en tout cas, ils m'"astinent" (terme québécois difficile à traduire: "s'obstine à me donner tort")), et je ne suis pas qualifié pour installer tout ça (je peux changer du RAM, mais j'ai "cassé" l'ordi en essayant de changer une carte graphique).

Par contre:
2 - si j'achète de nouvelles cartes (mère, autres) + installation avec quelqu'un compétent (mon voisin travaille comme réparateur, je ne sais pas s'il est compétent, je ne lui ai pas parlé de mon problème, je vais peut-être me risquer après CONFIRMATION que c'est moins cher qu'un ordi neuf)): je dois réinstaller une version de LINUX (préférablement 20.10 (à jour), puisque je commence à connaître un peu) sur un SSD neuf, ensuite acheter Windows + antivirus en téléchargement (puisque non-disponible en version complète en magasin), réinstaller/configurer hors-ligne, ensuite faire les mises à jour sur internet (et me procurer Ccleaner qui m'a été très utile pour me rendre compte de ce qui se tramait: la version payante est-elle vraiment meilleure que la gratuite? J'avais payé, mais elle s'est fait hacker dernièrement).

Il y a moyen de faire coexister deux OS sur le même disque, mais il faudrait que je me renseigne comment faire.
J'aurai l'option de garder les deux OS sur le disque SSD s'il est assez gros (peut être utile pour extraire des CD avec K3b et DVD avec Handbrake, sûrement y-a-t-il meilleur que Windows Media Player?), ou désinstaller LINUX pour regagner l'espace. Ça semble la solution la moins coûteuse SI SEULEMENT la carte-mère a besoin d'être changée.

Est-ce que les microgiciels infectés seraient sur les cartes elle-mêmes, ou sur la carte-mère? J'ai l'impression que c'est la deuxième option, puisque la carte mère n'a que des connecteurs... Si je change toutes les cartes, je peux garder les chassis/connecteurs/power supply, faudrait que je vérifie le compte + le coût d'installation auprès de mon voisin.

NOTE: J'ai même dû coller mon nouveau SSD avec 2 morceaux de ruban électrique gris: il était plus gros que l'ancien et n'entrait pas dans l'espace du chassis! Ça n'a pas l'air de le déranger... Si ça peut causer problème, svp dites-le moi.

MERCI encore didmed!
Messages postés
2530
Date d'inscription
dimanche 19 décembre 2004
Statut
Membre
Dernière intervention
8 avril 2021
717
Salut Martin_BesoinDaide ,

content que tu aies eu des réponses sur le web et par moi-même.
Les micro logiciels sont intégrés à la carte-mère dans une puce (un chip) et sont peuvent être hackés (donc modifiés): chaque carte-mère a un chip dédié
>>> continue comme cela avec ton voisin réparateur, il te tuyautera

Bonne suite à toi,
Bye
Messages postés
4
Date d'inscription
dimanche 28 mars 2021
Statut
Membre
Dernière intervention
30 mars 2021

Re-bonjour didmed

Tu n'as pas besoin de répondre à moins que je me trompe ici. Je tâcherai d'être bref.
J'ai testé ma méthode pour le BIOS: ça me donne un certain succès, mais pas parfait.

Dans le BIOS (ESC ne marche plus, ça donne un "GRUB Boot Menu", seulement F2 fonctionne maintenant), la 1re fois :
3 options de boot:
1-ubuntu (sur le SSD)
2- UEFI PXE ip4 (nom de carte PCIe)
3-UEFI PXE ip6 (même nom )
(+ la 4e Disabled),
3 "Boot overide":
1-ubuntu (nom de mon ssd)
2-UEFI ip4 ...
3-UEFI ip6 ...

J'ai bidouillé un peu avec ma méthode, réussi à faire disparaître les cartes, il n'y a q'une seule option de Boot (ubuntu) mais il reste toujours un "Boot overide" pour "ubuntu". Je crois que ce n'est pas normal, il ne devrait pas avoir d'Override (outrepasser en anglais). Si je comprends bien l'UEFI d'ubuntu est hacké (deux ubuntu).

Je me trompe? Les 2 cartes PCIe, c'est le RAM et la carte LAN? Ma carte graphique n'est peut-être pas affectée pour l' UEFI (mais a peut-être quelque chose)? À noter que mon compte "user" affiche un logo de carte verte (j'ai pas le temps de lire) en début de session, mais pas le compte Admin: je préfère "user", la qualité des vidéos est beaucoup plus belle (peut-être à cause de ça), et on m'a dit que c'est plus sécure généralement.

J'ai essayé de changer mes mots de passe Admin et user, retourner dans le BIOS, rien à faire: le Boot Overide est là, et je dois entrer le mot de passe Admin pour changer celui de l'utilisateur, alors le système les connait toujours.

La première fois arrivé sur la page du logo Ubuntu Studio (juste avant le login), les fameuses barres bleues sont apparues un peu plus tard, mais plus maintenant. Aussi, après le login, le logo d'Ubuntu s'affiche, s'éteint une fraction de seconde et réapparait (pas bon signe, Windows me donnait aussi un "glitch" (erreur graphique, des barres verticales pendant une fraction de secondes)).

DONC:

D'après ton plus récent commentaire, les microgiciels ne sont pas sur LES CARTES ELLE-MÊMES, seulement sur LA CARTE-MÈRE? Quelqu'un m'a dit qu'on pouvait enlever les chips et les remplacer, mais que c'était très Hardcore!! En plus d'attendre les puces par la poste si lente... Je vais consulter mon voisin dès que possible. Pour l'instant internet fonctionne, et je peux toujours me déconnecter pour travailler, mais télécharger Windows, antivirus ou n'importe quoi d'autre est risqué, même des applis ubuntu.

Alors, un grand merci pour tes réponses, je continue ma recherche...

Bonne journée!
Messages postés
1543
Date d'inscription
samedi 12 septembre 2020
Statut
Membre
Dernière intervention
10 avril 2021
128
Salut,

"J'ai un problème récurrent de Rootkit sur mes ordis depuis 20 ans (Windows XP, 7 , 10) et maintenant Linux Ubuntu Studio 20.10 installé depuis 2 semaines, en vain.

Linux est très compliqué, pas de support pour ma version (pas une Long Term Service (la dernière est 20.04)), aucun résultat pertinent dans Google aux multiples problèmes audio/vidéo que je rencontre depuis 2 semaines, les questions posées sur différents forums n'on apporté aucune aide ni réponse (juste des commentaires sur comment ne PAS poser la question: ils ne croient même pas qu'un manuel d'utilisation est utile. Je ne comprends RIEN à leur mentalité!). "

Je ne vois absolument pas le rapport entre les 2 paragraphes. Ce que j'interprète c'est que pendant 20 ans on ne t'a jamais aidé à sécuriser tes ordinateurs (premier paragraphe), et que tu craches gratuitement sur Linux alors que ça trahit davantage une incompétence de ta part.

Je peux me tromper et je serais ravi de lire ta réponse.

Quoi qu'il en soit, un rootkit est totalement indépendant du système d'exploitation. Son objectif est d'attaquer le système via le BIOS.

En tout cas, tu dois être soit très célèbre soit très riche si un pirate a mis un rootkit sur tes ordis pendant tout ce temps.
Messages postés
4
Date d'inscription
dimanche 28 mars 2021
Statut
Membre
Dernière intervention
30 mars 2021

Bonjour dachiasse,

Non, je ne craches pas sur Linux. Ma question est longue (trop) et tu n'as pas bien compris.

Svp, lis la réponse de didmed, qui est beaucoup plus utile que la tienne...

Adieu!