Problème de Rootkit sur les microgiciels de la carte-mère + SSD

Bonjour, j'espère que je poste ma question dans la bonne section. Excusez-moi de l'extrème longueur, c'est très compliqué et je désespère de trouver une solution efficace sans racheter un ordinateur complet.

J'ai un problème récurrent de Rootkit sur mes ordis depuis 20 ans (Windows XP, 7 , 10) et maintenant Linux Ubuntu Studio 20.10 installé depuis 2 semaines, en vain.

Linux est très compliqué, pas de support pour ma version (pas une Long Term Service (la dernière est 20.04)), aucun résultat pertinent dans Google aux multiples problèmes audio/vidéo que je rencontre depuis 2 semaines, les questions posées sur différents forums n'on apporté aucune aide ni réponse (juste des commentaires sur comment ne PAS poser la question: ils ne croient même pas qu'un manuel d'utilisation est utile. Je ne comprends RIEN à leur mentalité!).

En plus, il semble que la seule manière d'avoir accès aux logiciels de production audio de qualité que j'avais sous Windows (Cubase pro, Band in a Box, Finale) soit d'installer un émulateur de Windows (avec les problèmes de sécurité associés). Après en avoir installé un, m'être rendu compte que ça ne ferait probablement pas l'affaire et l'avoir désinstallé, mon système a encore plus de problème (VLC fonctionne mal, j'ai installé MPV qui fonctionne mieux mais a moins de fonctionnalités).

Bref, je crois que la meilleure solution est de revenir à Windows dès que possible.

Le hic?
Ma carte-mère est infectée par un ROOTKIT vicieux qui ne veux pas disparaître et probablement plusieurs autres logiciels malveillants (récemment un powershell malware, sous Windows dès que j'arrivais sur le bureau, une fenêtre noire s'ouvrait et se fermait: un script venait d'être passé mais quoi? J'étais déconnecté d'internet). Mon Windows 10 devenait de plus en plus difficile à manipuler, des paramètres devenaient inopérables, je ne pouvais plus désactiver des services natifs au démarrage depuis Ccleaner (exemple: svchost.exe -Unistack : permission refusée).

J'avais gardé deux disques externes de données, un depuis XP, l'autre depuis 7, et je me faisais probablement réinfecter à partir de là (en cliquant pour retirer le périphérique, j'avais souvent le message qu'un programme était en fonction ou un dossier ouvert, alors que non).

Avec Ccleaner, depuis plusieurs années, je voyais les logs de certains programmes, et ça m'a pris du temps à comprendre: ils étaient tous reliés à NGEN.EXE . Je ne me souviens plus du nom de tous les dossiers dans le dossier Windows, mais tous avaient le même log dont je pouvais parfois lire les .txt, mais qui me donnait "accès refusé" après quelques tentatives.

J'ai découvert par intuition comment me donner accès total dans les propriétés de sécurité (c'est compliqué, je ne sais pas comment j'ai fait!), je pouvais lire et même supprimer les dossiers et les fichiers .json, mais ils revenaient toujours au redémarrage de Windows 10. Et il y avait toujours un utilisateur "mystère" qui avait les autorisations spéciales, je ne pouvais pas les lui enlever, ni me les donner: rien à faire.

Tout ces programmes font la même chose et avaient le même log .txt que ngen.exe, qui commençait par:

"[Fusion], [GAC], 0"
"[WimBoot], [NotApp], 1"
Suivi par des propriétés du système à gauche et le chemin d'accès sur le C: à droite (je crois que le nombre 1 était aussi à doite, à la fin de la ligne).

Et la liste se rallongeait à mesure que le temps passait...

Si je ne me trompe pas, le Windows Boot Manager était "fusionné" avec NotApp, une version modifiée et piratable à distance par les hackers, activant de plus en plus de services piratés de windows (svchost, rpc, règle de parefeu commençant par @, etc)

La boutique ou j'ai acheté l'ordinateur il y a deux et demi n'a jamais réglé le problème efficacement (85$ à chaque fois), niaient tout ce que je leur disais à propos de ces logs: soit ils sont incompétents, soit escrocs, ou les deux. TOUTES les boutiques me disent "On sait quand ça commence, pas quand ça finit"! Aucune ne veut reconnaître le problème: ROOTKIT sur la carte-mère! On m'a même dit que les techniciens ne savaient pas flasher un BIOS. Non, impossible, 2 jours avant la personne à qui j'avais parlé m'avait dit le contraire.

Avec "netstat", branché à internet depuis 1 minute seulement sans rien faire, j'avais 70-80+ connections TCP: en vérifiant certaines addresses IP, la majorité étaient des clouds (Azure (Microsoft), Akamai, etc). C'est mon ordinateur qui demandait les connections. Les hackers utilisaient donc des services de clouds légitimes pour faire leur sale besogne, évitant de se faire repérer avec leur propre IP.

Présentement, avec Ubuntu, je ne sais pas exactement comment voir les processus qui roulent, mais une recherche sur wikipedia français me renseigne qu'il faut absolument faire le scan pour les rootkit à partir d'un environnement sain, et que même après avoir flashé le BIOS, le problème persisterait.

En février, j'avais enlevé tous les disques et mon BIOS fonctionnait au quart de tour, sans problème. Mais la date n'était pas exactement la même (numéro de version, jour et année oui, mais pas le mois) que celle donnée sur le site web de la carte.

Il y a deux semaines, j'ai flashé le BIOS à partir d'une clé USB, supposément la bonne version téléchargée à partir d'un ordi réputé sain (un ami qui a LINUX depuis plus de 30 ans, mais totalement mal informé à propos d'Ubuntu et les environnements graphiques sous LINUX, ils ne les utilisent pas). Sans succès, le mois n'a pas changé.

J'ai acheté un SSD tout neuf, l'ai branché et les mêmes problèmes sont revenus dans le BIOS: un clic ne suffisait pas toujours (deux ou trois clics nécessaires), CSM activé causait encore plus ce comportement, lancer l'EFI depuis un port USB donnait un message d'erreur "le Secure Boot est activé", mais il ne l'était pas (j'avais déjà trouvé l'astuce: réinstaller et désinstaller les clés, et là ça a fonctionné).

Tout d''abord la version de Ubuntu s'est lancée, mais roulait à partir de la clé USB. J'ai recommencé et installé, mais la seule option dans le BIOS qui me permettait de démarrer le système en mode CSM était: Boot Device Control : UEFI & Legacy / LAN: ignore (je ne boot pas d'internet) / Storage Device : (faudrait que je vérifie, je ne suis plus certain laquelle: Legacy ou UEFI) / PCI: ignore (je ne boot pas de la carte PCI non plus).

Notez que je ne suis pas spécialiste du BIOS, le manuel n'explique pas les options, je n'avais pas accès à internet pour les instructions (les café internet sont fermés à cause de la pandémie), et les indications sur les options dans le bas de la fenêtre du BIOS un peu trop succinte: je n'ai pas essayé de désactiver CSM, puisque les indications disaient "désactivé = boot sécurisé ou windows secure updates" et "activé: pour windows uefi ou systèmes ne supportant pas "quelque module que je ne comprends pas" (faudrait que je retourne voir, je n'ai pas vu si les options ont changé toutes seules, je n'ose pas par crainte d'une altération due au Rootkit qui rendrait mon système inopérant).

Peut-être ai-je fait une erreur, CSM doit peut-être être désactivé, mais lorsqu'activé, les options décrites ci-dessus étaient les seules rendant mon ordi fonctionnel et bootant Ubuntu (plus au démarrage un logo de ma carte-mère que je n'avais jamais vu avant).

Je ne savais pas non plus comment sécuriser le démarrage pour Ubuntu et mon ami LINUX non plus, il m'a dit qu'il avait essayé avec sa version et avait eu des problèmes. En plus, mon ami m'avait donné le "candidate release" au lieu de la version officielle.

Il y a beaucoup trop de bugs, ce n'est pas possible un système aussi capricieux: MAIS je suis persuadé que la source RÉELLE et PREMIÈRE est la carte-mère et ses rootkits. Il faut absolument me débarraser de ça en premier.

Pour le moment dans Ubuntu Studio à jour, j'ai internet qui fonctionne, la plupart des applis aussi , mais si je change quelque chose (pilote graphique, options du compositeur, installation et/ou désinstallation d'un module ou d'une application), ça bogue tout le système à plusieurs niveaux, notamment la fermeture/ouverture du système et la qualité vidéo revenue au mieux à 97% (d'abord les vidéos 1080p sur Youtube avaient l'air 480 gonflés).

Je suis probablement hacké à plusieurs niveaux: LINUX lui-même, je ne peux pas vérifier, le BIOS, peut-être la carte graphique, la mémoire vive (RAM pci), la carte réseau (LAN) , tout ce qui est microgiciel sur la carte potentiellement. Peut-être aussi ma vieille carte de son USB 2.0 qui a eu des ratés avec Windows en novembre dernier (j'avais tout éteint pendant 3 mois), mais je vais peut-être la changer car les convertisseurs ne sont plus très performants. Peut-être aussi mon lecteur/graveur CD/DVD externe USB, je ne sais pas s'il comporte un microgiciel piratable, ni comment vérifier. J'ai lu des cd et dvd fermés, mais je n'ai rien gravé et je ne sais pas si c'est possible qu'une gravure infecte le media si l'ordi est infecté (ça doit dépendre du degré d'infection, je présume).

DONC:
Je n'ai qu'un ordinateur, je n'ai pas les moyens de payer 1300$ pour en acheter un neuf, je ne peux aller dans aucune boutique ni faire venir un technicien d'un magasin, personne non plus de compétent qui apportera son ordi chez moi pour faire le travail, les pages de wiki sont vraiment très techniques, mais disent surtout: ça prend un démarrage en mode sécure depuis un autre environnement sain pour vérifier.

Il n'y a rien que je puisse tenter seul avec ma carte-mère infectée: toutes les clés USB ou disques durs que je branche à monordi sont infectés si je les branchent avant de l'allumer (j'ai installé Windows début février à partir d'une clé de magasin vieille de 2 ans: ça a marché UNE fois, malheureusement je l'ai oubliée, branchée, et retournant dans le BIOS les valeurs que je changeais revenait à leur ancienne valeur. Aucune autre installation à partir de cette clé n'a fonctionné correctement).

De plus, si je retourne à Windows 10 (H2O était la dernière mise à jour que je connais) pour récupérer mes programmes audio (et leur qualité de LOIN supérieure à ce qu'offre par défaut Ubuntu), la version complète ne se vend pas en magasin ici au Québec, seulement en version téléchargeable. Impossible de télécharger Windows depuis mon ordinateur infecté et faire une image sur clé USB sans risque.

Même ma clé USB (dongle) de Steinberg pour mes produits Cubase est potentiellement infectée... mais je pourrais en obtenir une autre à peu de frais je crois puis télécharger les programmes depuis leur site une fois mon ordi en bonne santé.

Pour l'antivirus: ma boutique m'a vendu Malwarebytes Premium en février dernier, encore une fois une license électronique sans fournir une copie physique, mais il était mal paramétré (ne détectait pas les rootkits par défaut) et prenait 10 secondes seulement pour l'analyse de 5000 fichiers, alors que Windows Defender analysait 150 000 fichiers et prenait 10-15 minutes! J'ai écrit au support de Malwarebytes vendredi, j'attends leur réponse dans les prochains jours ouvrables.

Ma boutique ne m'avait pas donné le disque de Windows 10 non plus, malgré leur prétention du contraire; ils installent à partir de la même clé pour tout le monde et donnent des licenses électroniques (et peut-être réinfectent si leur clé est infectée; ils m'ont engueulé et raccroché au nez quand je leur ai dit).

Mes mots de passe pour mes comptes courriels web sont potentiellement affectés aussi, et puisque depuis quelques années tous les comptes de tous les fournisseurs sont reliés à un autre (on n'avait pas le choix, et je n'ai pas de téléphone cellulaire), il est presque impossible de changer un mot de passe rapidement sans que les hackers le sachent. Il y a sûrement une solution, mais ça prend un ordi sain d'abord. Pour l'instant j'ai totallement vidé mes boîtes de réception remplie à craquer d'infos (des codes de différents programmes, dont celle de Ccleaner qui s'était infecté et me réclamait une clé pour mettre à jour, alors que ma version payée était encore valide).

Je ne sais pas si la version gratuite de Ccleaner est aussi efficace: leur site prétend que la payante va plus loin dans ses recherches, mais peut-être est-ce faux, renseignez-moi, s'il-vous-plaît.

À noter que GData est le meilleur antivirus que j'ai jamais eu, il détectait beaucoup plus de malware sur internet que les autres et sa base de données de virus beaucoup plus vaste. Mais lui aussi n'est disponible qu'en téléchargement. Je vais peut-être le racheter, si je peux régler le problème de la carte-mère.

Une fois que le rootkit est installé, il ne sera jamais détecté par AUCUN antivirus (puisque il est chargé avant toute autre chose), surtout de manière si profonde sur une carte-mère...

S'il-vous-plaît, quelqu'un, aidez-moi!!

Je ne sais plus quoi faire à part demander de l'aide dans ce forum.
J'espère que quelqu'un aura une solution.

Je suis sincèrement désolé si c'était long à lire... j'ai frustré beaucoup, mais maintenant je désespère...

Merci d'avoir lu jusqu'au bout.