Rechner gesperrt nach Microsoft-Anruf. Wie auf Daten zugreifen?

[isd]

Habe einen Kunder, der auf dei Anrufmasche der Microsoft.Betrüger reingefallen ist und diese in sein System gelassen hat. Es ist ein Windows 8 Rechner, der nun mit SysKey gesperrt ist. Also beim Hochfahren soll man ein Systemstart-Kennwort eingeben. (so ähnlich wie her beschrieben:
http://www.teltarif.de/microsoft-scamming-anruf-betrug/news/52777.html)

Ich habe jetzt per Live Linux-CD versucht zu booten (Festplatte ausgebaut in externem Rechner) um auf die Platte zuzugreifen. Diese wird zwar erkannt, aber immer als leer angezeigt, bzw. gar nicht gemountet als Laufwerk.

Heisst das, dass die komplette Festplatte verschlüsselt wurde (halte ich für ausgeschlossen - würde ja viel zu lange dauern), oder liegt das irgendwie an dieser UEFI-Geschichte.

Brauche ich eine spezielle DVD für UEFI, damit ich auf die Festplatte zugreifen kann?

 

[autoshot]

Was genau meinst du mit "SysKey"? Ein Passwort NACHDEM Windows gebootet hat oder noch bevors überhaupt soweit kommt?

 

[Kronos60]

Du kannst dir eine Linux-Live-CD runterladen und deine Daten damit sichern, brauchst die Platte nicht ausbauen:
http://www.ubuntu.com/download/desktop
Denn ausprobieren-Modus wählen.

Nur nichtausführbare Dateien (Videos, Bilder, Mp3-cClips, Worddateien) kopierenderweise sichern keine ausführbaren (exe..etc).
Dann musst du neuinstallieren, wer weiss was er am PC alles gemacht hat.

 

[isd]

Syskey ist ein Zusatzprogramm. Das startet VOR der eigentlichen Windiws-Anmeldung.
OK, ich versuche es nochmal mit einem aktuellen Ubuntu. Mit der 12.10 hat es nicht geklappt - dann kann die wohl kein UEFI / GPT?

 

[nicknackman1]

Heisst das, dass die komplette Festplatte verschlüsselt wurde (halte ich für ausgeschlossen - würde ja viel zu lange dauern), oder liegt das irgendwie an dieser UEFI-Geschichte.

Ja genau so ist es. Das geht ganz fix, da die Daten in einen Container oder Container in Container verschoben wurden! ...und da die in der zweiten Version "nachgebessert" haben ist das Tool was es im Netz gibt in zwischen nutzlos!

Wenn Container in Container, dann siehst Du natürlich immer nur in den ersten und der ist dann scheinbar leer.

 

[Wilhelm14]

Also wenn es wirklich "nur" der Syskey-Kram ist, haben sie nur das Logon verschlüsselt. Hier stehen zwei Tipps und die Daten selbst ließen sich so oder so per Live-Linux kopieren.
http://www.eightforums.com/system-security/43049-windows-8-lock-out-after-microsoft-call-3.html

Ist die HDD tatsächlich verschlüsselt, dann weiß ich auch nicht.

PS: Du könntst auch statt von einem Linux von einem anderen Windows aus auf die HDD gucken oder testweise mit einer Windows-DVD, der Computerreparatur und von dort via cmd, ob überhaupt noch was zu sehen ist.

 

[Kronos60]

Ist die HDD tatsächlich verschlüsselt, dann weiß ich auch nicht.

Dann sieht die Sache mit der Datensicherung schlecht aus.