Bonjour,  
 
Mes parents se sont fait pirater leur PC à distance par des indiens qui se faisaient passer pour Microsoft au téléphone en anglais. Apparemment c'est plus que courant ...  
Bref ils n'ont pas voulu payer et maintenant lors du démarrage de l'ordinateur un message apparaît et dit :
 
"Mot de passe de démarrage"
"Cet ordinateur est configuré pour demander un mot de passe afin de démarrer. Veuillez entrer le mot de passe de démarrage ci dessous".  
 
C'est une vieille boite de dialogue style windows 2000  
 
 
J'essaye depuis 5 h à régler le problème et je n'y arrive pas !!  
J'ai essayé via le CD et le boot USB la méthode "sam" qui déverrouille le PC.  
J'ai réussi à désactiver le mot de passe du compte administrateur du nom de mon père mais l'autre compte administrateur nommé administrateur c'est impossible ...
 
Des idées ?  
Toutes les factures et photos sont sur ce pc ...
 
Merci d'avance.

A moins que le truc ait chiffré la partition, il te suffit de démonter le disque est le brancher en USB sur un autre PC, c'est le plus simple, ut pourras récuperer les documents en toute tranquilité.

 
C'est un PC portable .. J'aimerais éviter le démontage si possible

Sous Windows 7, le compte nommé administrateur est désactivé par défaut. Je ne suis pas certains que l'on puisse modifier le mot de passe d'un compte désactivé.
 

Oui c'est ce qui me semblait aussi. Mais cette fenêtre apparaît avant la sélection de la session donc ça doit être dessus je pense

Sur ton compte accessible, dans une invite de commande en tant qu'administrateur (clique-droit dessus, exécuter en tant...) tapes :  
net user administrateur /active:yes
Au moins tu seras sûr qu'il l'est.

Je ne peux pas rentrer dedans ... Le message apparaît juste apres le bootage ..

Tu as indiqué que tu avais changé le mot de passe du compte admin de ton père, tu n'arrives pas à ouvrir la session dessus ?

C'était grâce à un programme que tu installes sur un clef USB et que tu bootes au démarrage. Methode SAM de mémoire.

Démarre en mode sans echec et ca devrait être bon.

Deja essayé ... Ça marche pas non plus

alors tu démarres en invite de commandes.
Tu vas faire une restauration systeme avec la commande RSTRUI.EXE
ce programme se trouve dans c:\windows au cas où.

clee de boot avec ubuntu et tu pourras changer deux troix babiole dans les fichier window ainsi que l'acce a tous tes dossiers

tu aura acces a tes dossier du moin

Je n'y ai pas accès :-(

 
C'est bien un os alternatif ça ?
 
Ce matin j'ai démonté mon DD externe et mon DD interne. J'ai récupéré le boîtier pour accéder à mes documents.  
 
Ca m'a l'air de fonctionner moyennement. Puis-je installer un logiciel pour retirer tous les mdp de mon disque dur maintenant que j'y ai accès ?

Le problème ne semble pas être le mot de passe mais un programme qui bloque le poste genre virus gendarmerie.
 
Quand tu dis "Je n'y ai pas accès :-("
c'est à quel niveau ? tu arrives bien à l'invite de commande ?

Quand je lance mon PC juste après le bootage j'ai l'image "windows démarre" ou un truc dans le genre et avant le choix de la session ça apparaît.  
 
Maintenant je suis sur mon disque dur interne grâce au boîtier de mon disque dur externe. Avec un tuto pour avoir accès à tous les dossiers je peux récupérer mes fichiers. Mais en étant si proche du but je me demande s'il est pas possible de retirer tous les mots de passe et remettre mon DD.  
C'est chiant de formater. J'ai peur d'oublier des fichiers.
 
ÉDIT : au moins le principal est sauvé. C'est juste une question de temps/travail maintenant.

au démarrage tu appuies sur F8
l'ordinateur te propose un mode sans echec, et un peu en dessous tu as le mode invite de commande et tu valides.
et là tu tapes rstrui.exe sinon tu vas dans
%SystemRoot%\system32\restore\rstrui.exe ou  
c:\windows
Ca dépend du système d'exploitation.

 
 
 
J'ai testé. Je lance le mode ça inscrit plein de lignes et après ça plante et redémarre.

Sinon tu peux restaurer depuis le cd windows

Bonjour,
 
 
Juste pour info, comment ont procédé ces pirates pour bloquer le PC par téléphone ?
 
 
Essaie ça.
 
 
==> CD live de Malekal
 
 

• Télécharge le CD live de Malekal

• Ensuite, il faut graver le fichier CD_Live_Malekal.iso à l'aide du programme de ton choix ou avec Iso2Disc
• Clique sur Browse pour entrer le fichier CD_Live_Malekal.iso
• Sélectionne le lecteur CD dans la rubrique Burn to CD/DVD ou Burn to USB Flash Drive si tu veux te servir d'une clé USB.
• Clique sur Start Burn et attendre la fin de la gravure.

• Redémarre le PC (avec le CD ou la clé USB)  
• Quand CD live de Malekal est installé, lance Roguekiller: tout d'abord, il y a un prescan qui se fait automatiquement puis lance le scan. Quand ce dernier est fini, lance la suppression.

• Le rapport de RogueKiller est créé sur le bureau.

• A partir du CD live de Malekal, héberge le rapport RKreport[X]¤D¤.txt sur www.Cjoint.com, puis copier/coller le lien fourni dans votre prochaine réponse sur le forum ou sauvegarde le rapport sur une clé USB.

La plus part du temps, ils se présentent comme Microsoft, ils disent qu'il y a un virus sur ton poste.
Ils demandent à prendre la main dessus avec ammyy ou un autre site de télémaintenance.
Ils te lancent un défrag, histoire de faire joli et ils exécutent leur programme qui se lancera au prochain redémarrage.

C'est pour ça que je suis ton hypothèse de programmes installés qui bloquerait le PC et dans ce cas là, il y a aurait une possibilité de reprendre la main.

si tu as moyen de faire une photo davidjustice123 de l'écran de démarrage pour voir si c'est un faux.
Je pense que c'est un virus gendarmerie modifié.

Merci à vous tous !!  
Finalement j'ai agi avant de recevoir vos conseils.  
 
J'ai donc démonté mon disque dur interne et je l'ai mis dans mon boîtier de disque externe (2,5 pouces) que j'avais préalablement démonté.  
 
Ensuite j'ai connecté ce disque dur a un 2ème pc. J'ai vu que certains dossiers étaient bloqués et grâce à un tuto sur internet j'ai réussi à les debloquer. J'ai ensuite vidé toute la partition où windows était installé.  
 
J'ai ensuite fait une clef USB bootable avec win 7 dessus (voir tuto Iso to USB). Mon lecteur dvd n'ayant jamais voulu fonctionner au démarrage je n'ai pas pu mettre de cd de réparation ou autres malgré les réglages dans le bios.  
 
Petit formatage et réinstallation de win7 ainsi que des drivers et le tour est joué. Grosse galere quand même.
 
ÉDIT :
Voici le message qui était affiché sur l'écran  

 
Procédure téléphone : ils se présentent comme technicien Microsoft (tu entends plein de bureau et de gens qui appellent autour) ils te font peur et te disent que tu es infecté et que des hackeurs t'ont pris des données (tout ça en anglais), même si tu n'es pas naïf et dit que tu n'es pas intéressé et que tu dis que tu ne vas rien payer ils te disent "non non on est la pour vous aider."  
 
Ils passent par un site internet .usa pour prendre la main sur ton PC, et ils lancent des prog et te montrent que t'es gravement infecté. Ensuite il te dit que Microsoft ne te couvre plus car ça fait plus de 2 ans que t'as ton PC et tu dois lâcher 10US$ pour qu'ils réparent ça.  
C'est là que t'es sûr que c'est de la magouille, pas assez cher pour que Microsoft se fasse chier. En plus de ça on sait qu'une licence Windows 7 est achetée à vie tout autant que les MAJ.  
Mon père s'est embrouillé avec le mec en se foutant de sa gueule et a débranché le PC et le mec lui a dit un beau "fuck you".  
Mais il avait réussi à ajouter ce mdp en arrière fond apparemment.
 
Je n'ai donc formaté que mon disque C, dois-je faire quelque chose concernant mon disque D ? Qu'en pensez vous ?
 
Merci à tous

ptin ca devient dingue!!!
 
 

 
Prévenez la famille    
J'ai failli aller à New Delhi pour le nouvel an casser des indiens [Joke]. 2 jours de galere!!

j'ai vu une méthode pour le supprimer
tu copies les fichiers dans :
%SYSTEMROOT%\system32\config\RegBack
Vers le dossier
%SYSTEMROOT%\system32\config\
 
Ca peut être fait depuis le cd windows 7 ou un live CD.
Sinon je pense que la restauration aurait fonctionnée.

Elle est vraiment bien conçue cette arnaque. A la rigueur, si tu ne parles pas anglais, t'as une petite chance    
 
Bravo à toi pour avoir récupéré tes données perso.    
 
Le disque D doit être un deuxième disque dur installé sur le PC portable. En principe, il sert à stocker des données perso, les programmes se mettant sur C. A toi de voir s'il faut le formater ou pas.

Bonjour David,

 
faut pas être parano non plus..... un formatage rapide suffit

 
 
Je n'ai pas réussi à restaurer quelque soit la méthode malheureusement.  
L'autre technique peut être. Je ne le saurai jamais j'espère !  
 

 
Oui mais le problème est que beaucoup de fichiers non volumineux étaient stockés sur le bureau. Concernant le reste tout est sur le D ou accessible depuis le bureau avec des raccourcis qui redirigent vers le D.  
Mon disque D est seulement une partition de mon disque dur (1 disque dur de 320go : 2 partitions installées).  
 
 

 
On est jamais trop prudent. Je le ferai.  
Merci du conseil.

 
Parce qu'être certain que l'ensemble des fichiers soient supprimés n'est-il pas un bon conseil ?
 
La subjectivité de la prudence relate plusieurs étapes et approches    

 
un formatage rapide suffit. et pourtant dieu sait que je suis parano.......
 
 

 
tu prends de la drogue non?  

[HS]Arrête de chercher la polémique c'est relou    
Tu viens avec tes idées on vient avec les nôtres   [/HS]
 
 
Par contre il faut savoir que le formatage par HDDLLF risque d'être bcp plus long  

 
   
 
je t'explique le plus tranquillement et simplement du monde qu'un formatage rapide suffit à effacer toutes les merdes sur un disque dur......
 
en fait tu es parano et tu n'as pas beaucoup de connaissances (désolé hein), du coup tu conseilles un formatage bas niveau mais basé sur aucun argument concret.....  
 

 
Edit : vaut pas la peine attendent que ça... Bisous les filles

Je plussoie :-)

Par contre ce qui serait intéressant à la base (parce que le social engineering ne fait pas tout) c'est de savoir

Comment ils ciblent les gens par téléphone ?  Je doute fortement que cela soit le fait du hasard. Il y a une faille à la base et il serait intéressant de savoir laquelle

  - Les victimes sont allées sur un site pot de miel qui via quelques requetes peut déterminer si un PC est à jour ou pas et son environnement  ? (le minimum que l'on peut apprendre d'un PC est du genre - pour simplifier - meme si l'exemple n'est pas tout à fait vrai :
      ( http://www.cnil.fr/vos-droits/vos-traces/experience/ )
   - Incitent à aller sur un site vérolé ? (qui mettra en avant les failles, des non mises à jour, des partages activés par défaut etc ?)
   - Navigateur hijacked à la base ?
etc

La dépose d'un fichier qui va véroler le disque ensuite n'est que la seconde étape (ce qui arrive tous les jours pour les gens qui se font infecter en allant visiter une page web, ou avec le P2P, etc)

Ensuite le coup du mot de passe au démarrage, le principe de désinfection est surement le meme que le virus gendarmerie (nom générique)  car hormis des variantes il n 'y a rien eu de nouveau ces derniers mois (pour les données cryptées là par contre il y a plusieurs variantes qui vont du simple mot de passe pour décrypter, au mot de passe différent pour chaque fichier

Et tout cela disparait avec un simple formatage (le mot de passe n'est pas dans le bios, ni l'infection)

 
Je te laisse continuer le débat avec amigaonly, bon courage,,,!!!!  
 
Ce qui est pénible, ce sont les débutants ou presque débutants comme toi qui arrivent avec leurs idées basées sur du vent et qui montent sur leurs grands cheveaux si on a le malheur de les contredire.  .  
 
Bon courage pour la suite du débat avec amigaonly