Piratage à distance

Piratage à distance - Win 7 - Windows & Software

Marsh Posté le 05-12-2014 à 16:22:56    

Bonjour,  
 
Mes parents se sont fait pirater leur PC à distance par des indiens qui se faisaient passer pour Microsoft au téléphone en anglais. Apparemment c'est plus que courant ...  
Bref ils n'ont pas voulu payer et maintenant lors du démarrage de l'ordinateur un message apparaît et dit :
 
"Mot de passe de démarrage"
"Cet ordinateur est configuré pour demander un mot de passe afin de démarrer. Veuillez entrer le mot de passe de démarrage ci dessous".  
 
C'est une vieille boite de dialogue style windows 2000  
 
 
J'essaye depuis 5 h à régler le problème et je n'y arrive pas !!  
J'ai essayé via le CD et le boot USB la méthode "sam" qui déverrouille le PC.  
J'ai réussi à désactiver le mot de passe du compte administrateur du nom de mon père mais l'autre compte administrateur nommé administrateur c'est impossible ...
 
Des idées ?  
Toutes les factures et photos sont sur ce pc ...
 
Merci d'avance.

Message cité 1 fois
Message édité par davidjustice123 le 08-12-2014 à 17:03:25
Reply

Marsh Posté le 05-12-2014 à 16:22:56   

Reply

Marsh Posté le 05-12-2014 à 16:25:45    

A moins que le truc ait chiffré la partition, il te suffit de démonter le disque est le brancher en USB sur un autre PC, c'est le plus simple, ut pourras récuperer les documents en toute tranquilité.

Reply

Marsh Posté le 05-12-2014 à 16:28:15    

flash_gordon a écrit :

A moins que le truc ait chiffré la partition, il te suffit de démonter le disque est le brancher en USB sur un autre PC, c'est le plus simple, ut pourras récuperer les documents en toute tranquilité.


 
C'est un PC portable .. J'aimerais éviter le démontage si possible

Reply

Marsh Posté le 05-12-2014 à 16:42:32    

davidjustice123 a écrit :

J'ai réussi à désactiver le mot de passe du compte administrateur du nom de mon père mais l'autre compte administrateur nommé administrateur c'est impossible ...


Sous Windows 7, le compte nommé administrateur est désactivé par défaut. Je ne suis pas certains que l'on puisse modifier le mot de passe d'un compte désactivé.
 

Reply

Marsh Posté le 05-12-2014 à 16:54:04    

Oui c'est ce qui me semblait aussi. Mais cette fenêtre apparaît avant la sélection de la session donc ça doit être dessus je pense

Reply

Marsh Posté le 05-12-2014 à 17:14:49    

Sur ton compte accessible, dans une invite de commande en tant qu'administrateur (clique-droit dessus, exécuter en tant...) tapes :  
net user administrateur /active:yes
Au moins tu seras sûr qu'il l'est.

Reply

Marsh Posté le 05-12-2014 à 17:32:25    

Je ne peux pas rentrer dedans ... Le message apparaît juste apres le bootage ..

Reply

Marsh Posté le 05-12-2014 à 18:22:59    

Tu as indiqué que tu avais changé le mot de passe du compte admin de ton père, tu n'arrives pas à ouvrir la session dessus ?

Reply

Marsh Posté le 05-12-2014 à 18:34:15    

C'était grâce à un programme que tu installes sur un clef USB et que tu bootes au démarrage. Methode SAM de mémoire.

Reply

Marsh Posté le 05-12-2014 à 19:05:46    

Démarre en mode sans echec et ca devrait être bon.

Reply

Marsh Posté le 05-12-2014 à 19:05:46   

Reply

Marsh Posté le 05-12-2014 à 20:03:12    

Deja essayé ... Ça marche pas non plus

Reply

Marsh Posté le 05-12-2014 à 20:22:02    

alors tu démarres en invite de commandes.
Tu vas faire une restauration systeme avec la commande RSTRUI.EXE
ce programme se trouve dans c:\windows au cas où.

Reply

Marsh Posté le 05-12-2014 à 21:29:05    

clee de boot avec ubuntu et tu pourras changer deux troix babiole dans les fichier window ainsi que l'acce a tous tes dossiers


---------------
[VDS] koxx giacomo coustelier V2 go mp
Reply

Marsh Posté le 05-12-2014 à 21:29:31    

tu aura acces a tes dossier du moin :)


---------------
[VDS] koxx giacomo coustelier V2 go mp
Reply

Marsh Posté le 06-12-2014 à 13:21:53    

nnwldx a écrit :

alors tu démarres en invite de commandes.
Tu vas faire une restauration systeme avec la commande RSTRUI.EXE
ce programme se trouve dans c:\windows au cas où.


Je n'y ai pas accès :-(

Reply

Marsh Posté le 06-12-2014 à 13:24:00    

nomis12 a écrit :

clee de boot avec ubuntu et tu pourras changer deux troix babiole dans les fichier window ainsi que l'acce a tous tes dossiers


 
C'est bien un os alternatif ça ?
 
Ce matin j'ai démonté mon DD externe et mon DD interne. J'ai récupéré le boîtier pour accéder à mes documents.  
 
Ca m'a l'air de fonctionner moyennement. Puis-je installer un logiciel pour retirer tous les mdp de mon disque dur maintenant que j'y ai accès ?

Reply

Marsh Posté le 06-12-2014 à 13:36:09    

Le problème ne semble pas être le mot de passe mais un programme qui bloque le poste genre virus gendarmerie.
 
Quand tu dis "Je n'y ai pas accès :-("
c'est à quel niveau ? tu arrives bien à l'invite de commande ?

Reply

Marsh Posté le 06-12-2014 à 14:36:11    

Quand je lance mon PC juste après le bootage j'ai l'image "windows démarre" ou un truc dans le genre et avant le choix de la session ça apparaît.  
 
Maintenant je suis sur mon disque dur interne grâce au boîtier de mon disque dur externe. Avec un tuto pour avoir accès à tous les dossiers je peux récupérer mes fichiers. Mais en étant si proche du but je me demande s'il est pas possible de retirer tous les mots de passe et remettre mon DD.  
C'est chiant de formater. J'ai peur d'oublier des fichiers.
 
ÉDIT : au moins le principal est sauvé. C'est juste une question de temps/travail maintenant.


Message édité par davidjustice123 le 06-12-2014 à 14:36:43
Reply

Marsh Posté le 06-12-2014 à 14:51:03    

au démarrage tu appuies sur F8
l'ordinateur te propose un mode sans echec, et un peu en dessous tu as le mode invite de commande et tu valides.
et là tu tapes rstrui.exe sinon tu vas dans
%SystemRoot%\system32\restore\rstrui.exe ou  
c:\windows
Ca dépend du système d'exploitation.

Reply

Marsh Posté le 06-12-2014 à 16:30:55    

nnwldx a écrit :

au démarrage tu appuies sur F8
l'ordinateur te propose un mode sans echec, et un peu en dessous tu as le mode invite de commande et tu valides.
et là tu tapes rstrui.exe sinon tu vas dans
%SystemRoot%\system32\restore\rstrui.exe ou  
c:\windows
Ca dépend du système d'exploitation.


 
 
 
J'ai testé. Je lance le mode ça inscrit plein de lignes et après ça plante et redémarre.

Reply

Marsh Posté le 06-12-2014 à 16:36:56    

Sinon tu peux restaurer depuis le cd windows

Reply

Marsh Posté le 06-12-2014 à 17:48:07    

Bonjour,
 
 
Juste pour info, comment ont procédé ces pirates pour bloquer le PC par téléphone ?
 
 
Essaie ça.
 
 
==> CD live de Malekal
 
 


  • Ensuite, il faut graver le fichier CD_Live_Malekal.iso à l'aide du programme de ton choix ou avec Iso2Disc
  • Clique sur Browse pour entrer le fichier CD_Live_Malekal.iso
  • Sélectionne le lecteur CD dans la rubrique Burn to CD/DVD ou Burn to USB Flash Drive si tu veux te servir d'une clé USB.
  • Clique sur Start Burn et attendre la fin de la gravure.


http://nsa34.casimages.com/img/2014/10/28/141028053721917780.jpg
 
 

  • Redémarre le PC (avec le CD ou la clé USB)  
  • Quand CD live de Malekal est installé, lance Roguekiller: tout d'abord, il y a un prescan qui se fait automatiquement puis lance le scan. Quand ce dernier est fini, lance la suppression.


  • Le rapport de RogueKiller est créé sur le bureau.


  • A partir du CD live de Malekal, héberge le rapport RKreport[X]¤D¤.txt sur www.Cjoint.com, puis copier/coller le lien fourni dans votre prochaine réponse sur le forum ou sauvegarde le rapport sur une clé USB.


 http://sd-1.archive-host.com/membres/up/70858669637993893/rksuppression.JPG


Message édité par monk521 le 06-12-2014 à 18:00:58
Reply

Marsh Posté le 06-12-2014 à 18:26:41    

La plus part du temps, ils se présentent comme Microsoft, ils disent qu'il y a un virus sur ton poste.
Ils demandent à prendre la main dessus avec ammyy ou un autre site de télémaintenance.
Ils te lancent un défrag, histoire de faire joli et ils exécutent leur programme qui se lancera au prochain redémarrage.

Reply

Marsh Posté le 06-12-2014 à 18:40:36    

C'est pour ça que je suis ton hypothèse de programmes installés qui bloquerait le PC et dans ce cas là, il y a aurait une possibilité de reprendre la main.

Reply

Marsh Posté le 06-12-2014 à 19:04:50    

si tu as moyen de faire une photo davidjustice123 de l'écran de démarrage pour voir si c'est un faux.
Je pense que c'est un virus gendarmerie modifié.

Reply

Marsh Posté le 06-12-2014 à 21:38:58    

Merci à vous tous !!  
Finalement j'ai agi avant de recevoir vos conseils.  
 
J'ai donc démonté mon disque dur interne et je l'ai mis dans mon boîtier de disque externe (2,5 pouces) que j'avais préalablement démonté.  
 
Ensuite j'ai connecté ce disque dur a un 2ème pc. J'ai vu que certains dossiers étaient bloqués et grâce à un tuto sur internet j'ai réussi à les debloquer. J'ai ensuite vidé toute la partition où windows était installé.  
 
J'ai ensuite fait une clef USB bootable avec win 7 dessus (voir tuto Iso to USB). Mon lecteur dvd n'ayant jamais voulu fonctionner au démarrage je n'ai pas pu mettre de cd de réparation ou autres malgré les réglages dans le bios.  
 
Petit formatage et réinstallation de win7 ainsi que des drivers et le tour est joué. Grosse galere quand même.
 
ÉDIT :
Voici le message qui était affiché sur l'écran  
http://reho.st/self/cfc82570f591221f59fcbd700b7d225211d6e774.jpg
 
Procédure téléphone : ils se présentent comme technicien Microsoft (tu entends plein de bureau et de gens qui appellent autour) ils te font peur et te disent que tu es infecté et que des hackeurs t'ont pris des données (tout ça en anglais), même si tu n'es pas naïf et dit que tu n'es pas intéressé et que tu dis que tu ne vas rien payer ils te disent "non non on est la pour vous aider."  
 
Ils passent par un site internet .usa pour prendre la main sur ton PC, et ils lancent des prog et te montrent que t'es gravement infecté. Ensuite il te dit que Microsoft ne te couvre plus car ça fait plus de 2 ans que t'as ton PC et tu dois lâcher 10US$ pour qu'ils réparent ça.  
C'est là que t'es sûr que c'est de la magouille, pas assez cher pour que Microsoft se fasse chier. En plus de ça on sait qu'une licence Windows 7 est achetée à vie tout autant que les MAJ.  
Mon père s'est embrouillé avec le mec en se foutant de sa gueule et a débranché le PC et le mec lui a dit un beau "fuck you".  
Mais il avait réussi à ajouter ce mdp en arrière fond apparemment.
 
Je n'ai donc formaté que mon disque C, dois-je faire quelque chose concernant mon disque D ? Qu'en pensez vous ?
 
Merci à tous


Message édité par davidjustice123 le 06-12-2014 à 22:01:03
Reply

Marsh Posté le 06-12-2014 à 22:00:21    

ptin ca devient dingue!!!
 
 :sweat:

Reply

Marsh Posté le 06-12-2014 à 22:02:14    


 
Prévenez la famille  :whistle:  
J'ai failli aller à New Delhi pour le nouvel an casser des indiens [Joke]. 2 jours de galere!!

Reply

Marsh Posté le 06-12-2014 à 22:19:26    

j'ai vu une méthode pour le supprimer
tu copies les fichiers dans :
%SYSTEMROOT%\system32\config\RegBack
Vers le dossier
%SYSTEMROOT%\system32\config\
 
Ca peut être fait depuis le cd windows 7 ou un live CD.
Sinon je pense que la restauration aurait fonctionnée.

Reply

Marsh Posté le 07-12-2014 à 08:29:25    

Elle est vraiment bien conçue cette arnaque. A la rigueur, si tu ne parles pas anglais, t'as une petite chance  :lol:  
 
Bravo à toi pour avoir récupéré tes données perso.  :jap:  
 
Le disque D doit être un deuxième disque dur installé sur le PC portable. En principe, il sert à stocker des données perso, les programmes se mettant sur C. A toi de voir s'il faut le formater ou pas.

Message cité 1 fois
Message édité par monk521 le 07-12-2014 à 10:39:17
Reply

Marsh Posté le 07-12-2014 à 10:37:27    

Bonjour David,

Message cité 2 fois
Message édité par pulsarone le 07-12-2014 à 16:55:06

---------------
Bonne Journée :)
Reply

Marsh Posté le 07-12-2014 à 10:39:53    

pulsarone a écrit :

Bonjour David,
 
Juste un petit conseil : assure toi d'avoir fait un formatage correcte à l'aide de HDDLLF par exemple sur ce genre d'infection :jap:


 
faut pas être parano non plus..... un formatage rapide suffit

Reply

Marsh Posté le 07-12-2014 à 10:52:05    

nnwldx a écrit :

j'ai vu une méthode pour le supprimer
tu copies les fichiers dans :
%SYSTEMROOT%\system32\config\RegBack
Vers le dossier
%SYSTEMROOT%\system32\config\
 
Ca peut être fait depuis le cd windows 7 ou un live CD.
Sinon je pense que la restauration aurait fonctionnée.


 
 
Je n'ai pas réussi à restaurer quelque soit la méthode malheureusement.  
L'autre technique peut être. Je ne le saurai jamais j'espère !  
 

monk521 a écrit :

Elle est vraiment bien conçue cette arnaque. A la rigueur, si tu ne parles pas anglais, t'as une petite chance  :lol:  
 
Bravo à toi pour avoir récupéré tes données perso.  :jap:  
 
Le disque D doit être un deuxième disque dur installé sur le PC portable. En principe, il sert à stocker des données perso, les programmes se mettant sur C. A toi de voir s'il faut le formater ou pas.


 
Oui mais le problème est que beaucoup de fichiers non volumineux étaient stockés sur le bureau. Concernant le reste tout est sur le D ou accessible depuis le bureau avec des raccourcis qui redirigent vers le D.  
Mon disque D est seulement une partition de mon disque dur (1 disque dur de 320go : 2 partitions installées).  
 
 

pulsarone a écrit :

Bonjour David,
 
Juste un petit conseil : assure toi d'avoir fait un formatage correcte à l'aide de HDDLLF par exemple sur ce genre d'infection :jap:


 
On est jamais trop prudent. Je le ferai.  
Merci du conseil.

Reply

Marsh Posté le 07-12-2014 à 11:05:03    


 
Parce qu'être certain que l'ensemble des fichiers soient supprimés n'est-il pas un bon conseil ?
 
La subjectivité de la prudence relate plusieurs étapes et approches  :jap:  


---------------
Bonne Journée :)
Reply

Marsh Posté le 07-12-2014 à 11:40:55    

pulsarone a écrit :

Parce qu'être certain que l'ensemble des fichiers soient supprimés n'est-il pas un bon conseil ?


 
un formatage rapide suffit. et pourtant dieu sait que je suis parano.......
 
 

pulsarone a écrit :

La subjectivité de la prudence relate plusieurs étapes et approches  :jap:


 
tu prends de la drogue non?   :heink:

Reply

Marsh Posté le 07-12-2014 à 12:43:15    

[HS]Arrête de chercher la polémique c'est relou  :o  
Tu viens avec tes idées on vient avec les nôtres  :D [/HS]

 
 
Par contre il faut savoir que le formatage par HDDLLF risque d'être bcp plus long  :p

Message cité 2 fois
Message édité par pulsarone le 07-12-2014 à 12:45:14

---------------
Bonne Journée :)
Reply

Marsh Posté le 07-12-2014 à 13:06:46    

pulsarone a écrit :

[HS]Arrête de chercher la polémique c'est relou  :o  
Tu viens avec tes idées on vient avec les nôtres  :D [/HS]


 
 :heink:  
 
je t'explique le plus tranquillement et simplement du monde qu'un formatage rapide suffit à effacer toutes les merdes sur un disque dur......
 
en fait tu es parano et tu n'as pas beaucoup de connaissances (désolé hein), du coup tu conseilles un formatage bas niveau mais basé sur aucun argument concret.....  
 

Reply

Marsh Posté le 07-12-2014 à 13:36:34    


 
Edit : vaut pas la peine attendent que ça... Bisous les filles :)

Message cité 1 fois
Message édité par pulsarone le 07-12-2014 à 13:51:35

---------------
Bonne Journée :)
Reply

Marsh Posté le 07-12-2014 à 13:38:38    

 

Je plussoie :-)

 

Par contre ce qui serait intéressant à la base (parce que le social engineering ne fait pas tout) c'est de savoir

 

Comment ils ciblent les gens par téléphone ?  Je doute fortement que cela soit le fait du hasard. Il y a une faille à la base et il serait intéressant de savoir laquelle

 

  - Les victimes sont allées sur un site pot de miel qui via quelques requetes peut déterminer si un PC est à jour ou pas et son environnement  ? (le minimum que l'on peut apprendre d'un PC est du genre - pour simplifier - meme si l'exemple n'est pas tout à fait vrai :
      ( http://www.cnil.fr/vos-droits/vos-traces/experience/ )
   - Incitent à aller sur un site vérolé ? (qui mettra en avant les failles, des non mises à jour, des partages activés par défaut etc ?)
   - Navigateur hijacked à la base ?
etc

 

La dépose d'un fichier qui va véroler le disque ensuite n'est que la seconde étape (ce qui arrive tous les jours pour les gens qui se font infecter en allant visiter une page web, ou avec le P2P, etc)

 

Ensuite le coup du mot de passe au démarrage, le principe de désinfection est surement le meme que le virus gendarmerie (nom générique)  car hormis des variantes il n 'y a rien eu de nouveau ces derniers mois (pour les données cryptées là par contre il y a plusieurs variantes qui vont du simple mot de passe pour décrypter, au mot de passe différent pour chaque fichier

 

Et tout cela disparait avec un simple formatage (le mot de passe n'est pas dans le bios, ni l'infection)

Message cité 1 fois
Message édité par Profil supprimé le 07-12-2014 à 13:41:21
Reply

Marsh Posté le 07-12-2014 à 13:50:44    

pulsarone a écrit :


 
Tu m'explique rien bonhomme et tu as certainement les meilleurs arguments et connaissances de tous le monde réuni ici ma poupoule...  
 
T'es content là ?  
 
Donc je réitère : on vient avec ses idées on repars avec et pas obligatoirement la tienne  ;)  


 
Je te laisse continuer le débat avec amigaonly, bon courage,,,!!!!  
 
Ce qui est pénible, ce sont les débutants ou presque débutants comme toi qui arrivent avec leurs idées basées sur du vent et qui montent sur leurs grands cheveaux si on a le malheur de les contredire.  .  
 
Bon courage pour la suite du débat avec amigaonly

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed