Verseuchte Windowsrechner wieder nutzbar machen.

[ottonormal]

Hallo,

eine gute und schon etwas ältere Bekannte hat 2 Rechner (einen Desktoprechner und einen Klapprechner) aus dem Nachlass ihres vor 5 oder 6 Jahren verstorbenen Mannes. Ihr Mann war damit immer ziemlich leichtsinnig im Netz unterwegs und es ist davon auszugehen, dass beide Rechner (alles Windows, wahrscheinlich win-7) total verseucht sind.

Nun sollen die persönlichen Daten gesichtet und gesichert werden und dann beide Rechner mit einer Linux-Installation wieder nutzbar gemacht werden. Vorher aber sollte ein kompletter Virenscan von allen Festplatten gemacht werden.
Ich wollte die Festplatten dazu ausbauen und an einem Linuxrechner mit einem, möglichst kostenlosen, Virenschutz-Programm von einer CD scannen.
Könnten sich Schädlinge auch noch woanders eingenistet haben, z.B. im Bios oder in der Hardware und wie ließe sich das feststellen? Oder war das vor 5 bis 6 Jahren noch nicht möglich/üblich?

Ich hatte vor vielen Jahren schon mal so etwas gemacht und in Erinnerung, dass das gut funktionierte. Genaueres weiß ich aber nicht mehr.

Hat jemand Erfahrung damit und/oder Tipps?

[debilian]

Code: Alles auswählen

Könnten sich Schädlinge auch noch woanders eingenistet haben, z.B. im Bios oder in der Hardware und wie ließe sich das feststellen? Oder war das vor 5 bis 6 Jahren noch nicht möglich/üblich?

könnte sein, aber wenn du den Rechner und die Daten danach nur unter GNU/Linux nutzt, was soll sein?
klar kannst du das alles scannen bzw. die Daten, die dann noch erhalten bleiben.

Warscheinlich würde ich die alten Festplatten nicht mehr weiter benutzen
aber nicht wegen einer eventuellen Verseuchung sondern wegen deren Alter...
Die kann mensch ja ins Regal legen, als Backup.

gruss

[uname]

Also selbst nach vielleicht 20 oder 30 Jahren ist mir unter GNUX/Linux noch kein Virus in freier Wildbahn untergekommen. Meiner Meinung nach kannst du die einfach Debian installieren und kopierst die Ursprungsdaten einfach irgendwo hin. Da sind die Viren dann - solange die Dateien nicht z. B. per Internet an Freunde per E-Mail geschickt werden - stillgelegt. Alternativ kann man natürlich das Hauptaugenmerk auf z. B. Bilder legen und Dateien mit Makros (z. B. Office) entsorgen oder vielleicht doch mal scannen. Ausführbare Dateien (EXE) sind meist sowieso irgendwo her kopiert, sind kein eigenes Werk und können meiner Meinung nach direkt gelöscht werden.

[ottonormal]

Danke für die Tipps!
Es geht da wohl in erster Linie um Bilder und auch Videos. Es sind sehr viele aus dem Familienkreis, haben also einen gewissen Wert. In ihrem Bekanntenkreis ist die Nutzung von Windows wohl eher der Standard. Da würden in Zukunft sicher auch viele Bilder an andere weitergegeben und damit würde sie sich evtl. sogar mitschuldig machen wenn andere Rechner dadurch auch verseucht würden.

Ich will noch mal etwas weiter ins Detail gehen:
Die Frau ist ihrer eigenen Meinung nach "gehäckt" worden. Obwohl die Rechner nicht mehr genutzt wurden.
Das äußerte sich anfangs nur durch ständige dubiose Anrufe. Die Anrufer hatten komplett alle Daten ihres Mannes. Name, Anschrift, Telefon, Alter, Beruf, einfach alles. Das schlimmste aber war ein PaYPal-Konto, das ihr Mann hatte, von dem sie aber gar nichts wusste. Das ist leergeräumt worden bzw. wurden davon jede Menge Einkäufe getätigt. Die Polizei ermittelt nun und die Frau ist "fix und fertig". Sie sind der Meinung, dass auch die Fritzbox gehäckt wäre usw. usf.

Jedenfalls bekommt die Bekannte jetzt einen neuen Internetvertrag mit neuer Telefon-Nr. Das soll im Laufe der nächsten Wochen über die Bühne gehen und dann wollte ich die Rechner bearbeiten.
Da das alles wohl um einiges über eine "normale" Rechnerverseuchung hinausgeht, mache ich mir schon Gedanken wo da noch und welche Stolperfallen lauern.

Können Bilder und Videos eigentlich auch verseucht sein? Oder nur andere Daten wie z.B Office und Windows-System-Daten? Wenn ich einfach alle Bilder und Videos auf eine ext. Platte kopiere und die Platten in der Rechnern komplett überschreibe? Es sind, wenn ich es richtig weiß, SSDs darin und ich habe mal gelesen, dass es da nicht möglich sein soll alles komplett zu überschreiben.

Was meint Ihr?

[wanne]

Code: Alles auswählen

Könnten sich Schädlinge auch noch woanders eingenistet haben, z.B. im Bios oder in der Hardware und wie ließe sich das feststellen? Oder war das vor 5 bis 6 Jahren noch nicht möglich/üblich?

BIOS-bootmalware war eher so vor 10 Jahren das fette Ding.

könnte sein, aber wenn du den Rechner und die Daten danach nur unter GNU/Linux nutzt, was soll sein?

Dass dir dein bios/EFI beliebig an deinem Linux rum manipulieren kann und so prinzipbedingt jede Schutzmaßnahme umgehen kann (indem es sie einfach entfernt).
Prinzipiell hast du da mit EFI natürlich noch viel größere Möglichkeiten. (weil viel mehr Platz und eigene Rechenkapazitäten von denen der Rechner nichts mitbekommt) Aber eben auch doppelte Schutzmaßnahmen: EFI sollte™ nicht mehr direkt vom OS aus manipulierbar sein. Wer sich da festsetzen will braucht also Lücken in Betriebssystem und EFI.

Also selbst nach vielleicht 20 oder 30 Jahren ist mir unter GNUX/Linux noch kein Virus in freier Wildbahn untergekommen.

Unterschätz das nicht, seit Windows mit dem PC zum absoluten Nieschenprodukt geworden ist geht ne Menge rum. Bekomme da relativ regelmäßig Fälle mit. Aber das Zeug, das auf Teufel komm raus persistent sein will ist mittlerweile wohl die absolute Ausnahme. Irgend welches Zeug, dass sich per copy&paste von bash-Scripten und bruteforce-SSH/Admin-Webinterfaces immer neue Opfer sucht schon eher. Trotzdem gab es aktive Malware gegen EFIs von Apple und Lenovo. 100% sicher bist du nur wenn du die Platten in einen anderen anderen Rechner einbaust. Eine reale Gefahr würde ich aber auch eher nicht sehen.

[willy4711]

Ich würde es so machen:
Online Virus Scanner : Suchen mit der Maschine deines Vertrauens

Über den Explorer nach Dateitypen suchen global z.B. mit:

Code: Alles auswählen

art:pic
art:movie
art:music

Irgendwohin kopieren (extern)
Platte 1 x Überschreiben (mit von CD gestartetem Tool) ---> Formatieren ---> Linux drauf

Ferddig

[ottonormal]

Ich würde es so machen:
Online Virus Scanner :

So ähnlich hatte ich es mir auch schon gedacht.
Das kannte ich noch nicht, klingt aber gut:

Code: Alles auswählen

art:pic
art:movie
art:music

Ich hatte mir jetzt das "avira-rescue08-system.iso" heruntergeladen und auf DVD gebrannt. Das ist ein Live-System auf Ubuntu-Basis mit Viren-Suchfunktion. Die Rechner sollen im jetzigen Zustand ja auf keinen Fall ans Netz.

[MSfree]

Code: Alles auswählen

Könnten sich Schädlinge auch noch woanders eingenistet haben, z.B. im Bios oder in der Hardware und wie ließe sich das feststellen? Oder war das vor 5 bis 6 Jahren noch nicht möglich/üblich?

BIOS-bootmalware war eher so vor 10 Jahren das fette Ding.

Der Heiseartikel ist erst ein Jahr alt:
https://www.heise.de/news/Kaspersky-ent ... 22496.html

Wie wahrscheinlich aber ein verseuchtes BIOS/UEFI ist, sei mal dahin gestellt. Anscheinend bedarf es Zugriff auf die Hardware, um Schadsoftware im Flashspeicher des BIOS/UEFI unterzubringen. Und der Angriff muß für jede Hardware eigens angepaßt werden.

[uname]

Ich will noch mal etwas weiter ins Detail gehen:
...

Ok dann möchte ich an dieser Stelle nun doch noch mal etwas ausholen. Es handelt sich bei der Schilderung um einen Identitätsdiebstahl, den ihr hoffentlich auch zur Anzeige gebracht habt. Das ist vor allen durch einen Fernwartungs-Trojaner bzw. Keylogger möglich. Es werden einfach alle Eingaben mitgelesen. Angreifer können nun sich z. B. beim E-Mail-Account oder sonstwo einloggen. Über E-Mail kann man alles zurücksetzen, was nicht per 2FA abgesichert ist. Daran erkennt man auch, dass komplexe Passwörter (hier) nichts bringen. Die beste Sicherheit ist hier ein Betriebssystem wie Linux, welches - da es nicht dem Mainstream entspricht - eher nicht angegriffen wird. Zudem installiert man unter Linux nicht Schadcode.exe, sondern Pakete aus sicheren Paketquellen.
Es kann im übrigen sein, dass er den Trojaner selbst installiert hat. Vielleicht hatte ihn ja z. B. mal "Microsoft" angerufen, die ihn aufgefordet hat Schadcode.exe zu installieren.

Den Rechner würde ich daher NIE wieder ans Internet lassen.
Wahrscheinlich würde ich die Daten (also Bilder, ...) auf eine externe Festplatte kopieren.
Bilderund Videos usw. können eigentlich nicht verseucht sein. Bei office-Dokumenten ist das schon kritischer.

Anschließend würde ich die externe Festplatte (natürlich von einen sauberen Rechner) scannen.
Danach könnte man die Daten übernehmen.

Es sind, wenn ich es richtig weiß, SSDs darin und ich habe mal gelesen, dass es da nicht möglich sein soll alles komplett zu überschreiben.

Es gibt Bereiche, die als defekt marktiert werden. Daher sind SSD auch meist größer als die Angaben auf der Platte. Ich sehe aber kein Problem die SSD weiter zu benutzen. Vielleicht sollte man davon nicht unbedingt booten. Aber auch die Bereiche sollten überschreibbar sein von einem sauberen System.
Falls im übrigen die SSD verschlüsselt ist, spielen die defekten Bereiche gar keine Rolle mehr. Ohne Schlüssel kann man mit den Inhalten - ob verseucht oder nicht - gar nichts anfangen. Dann würde es reichen einfach die Verschlüsselungs-Key bzw. das Entschlüsselungs-Passwort wegzuwerfen

[rhHeini]

... und checken ob es für das Mainboard bzw. den Schleppi Bios-Updates gibt. Die als erste Aktion nach dem Sichern der Daten aktualisieren und auf Setup Defaults zurücksetzen.

Rolf

[ottonormal]

Bilderund Videos usw. können eigentlich nicht verseucht sein.

Das klingt jedenfalls schon mal gut, darum geht es ja auch in erster Linie.
Und Identitätsdiebstahl, Anzeige, Polizei, das ist schon alles klar und das läuft ja auch. Ich hatte oben ja auch schon geschrieben dass die Polizei ermittelt. Auch, dass das alles nur mit Linux weiterläuft versteht sich fast von selbst. Aber den Rechner NIE wieder ans Internet zu lassen ist wohl doch etwas übertrieben, oder?
Wenn die Festplatten komplett überschrieben sind, evtl. sogar mehrfach, und eine Verseuchung vom Bios eher unwahrscheinlich ist, dann sollte der Rechner mit Linux doch eigentlich wieder normal nutzbar sein.

Die Vorgehensweise deckt sich ja auch mit mit dem was ich sowieso schon machen wollte.
Verschlüsselt ist/war auf beiden Rechnern übrigens nichts, das hätte auch wohl kaum zu dem früheren Nutzer gepasst.

[uname]

Auch, dass das alles nur mit Linux weiterläuft versteht sich fast von selbst. Aber den Rechner NIE wieder ans Internet zu lassen ist wohl doch etwas übertrieben, oder?

Ich meinte das installierte Betriebssystem. Und glaube nicht, dass man das mit einen Virenscanner wieder gerade bekommt. Platt machen inkl. Bootsektoren usw. ist angesagt. Und natürlich - wie du schon geschrieben hast - Linux installieren.

Wenn die Festplatten komplett überschrieben sind, evtl. sogar mehrfach, und eine Verseuchung vom Bios eher unwahrscheinlich ist, dann sollte der Rechner mit Linux doch eigentlich wieder normal nutzbar sein.

Klar. hatte mich wohl falsch ausgedrückt.

Verschlüsselt ist/war auf beiden Rechnern übrigens nichts, das hätte auch wohl kaum zu dem früheren Nutzer gepasst.

Hätte aber auch vor einen Identitätsdiebstahl nicht geschützt.

das hätte auch wohl kaum zu dem früheren Nutzer gepasst

Du solltest ihn nicht verurteilen. Das hätte jedem Windows-Anwender - inkl. Windows-Experten - passieren können.
Und wer dem widerspricht hat von Windows erst recht keine Ahnung.
Ich kenne so viele "Windows-Experten" die sagen, dass ihr Rechner virenfrei sei. Den Beweis konnte noch niemand erbringen.

[MSfree]

Platt machen inkl. Bootsektoren usw. ist angesagt.

Ich würde die Platten vorsichtshalber für forensische Zwecke, so wie sie sind, aufheben. Nichts löschen, nichts verändern. Die wichtigen persönlichen Daten kann man im Read-Only-Modus auf eine Sicherungs kopieren.

Solange die Polizei noch ermittelt, sollte man die Platten aufheben.

Neue Platten, oder besser noch SSDs, kaufen und in die alten Rechner einbauen, wäre mein Vorgehen.

[uname]

Wenn die Polizei die Rechner bis jetzt nicht haben wollte, dann wohl auch in Zukunft nicht. Den oder die Täter wird man damit sowieso nicht finden.
Aber wer immer noch zu viel Geld übrig hat, kann natürlich auch noch neue Platten oder SSD kaufen.
Der Fehler liegt darin unbedarfte Anwender auf ein hoch komplexes Betriebssystem wie Windows loszulassen, welches diesen Angriff aktiv unterstützt.
Hier gibt es wenig zu bedauern. Daher habe ich meinen Windows-Support bei Bekannten längst eingestellt. Gibt genug "Windows-Experten" im Privatumfeld, die sich damit gerne rumärgern ohne auch nur das geringste vom Betriebssystem zu verstehen.

[wanne]

Bilderund Videos usw. können eigentlich nicht verseucht sein.

Imagemagic war lange Zeit (vor allem mangels alternativen) das Haupteinfallstor in Linux-Server. Hat sich aber massiv gebessert. Guck dir mal die Security updates an: Crypto, Browser und Multimedia. – Also Bilder können verseucht sein. – Es ist nur, im Gegensatz zu doc/docm und .sh/exe nicht bei Design so dass die das können. – Sprich nach dem nächsten Update ist die Malware nutzlos. Außerdem gibt es massenhaft Programme, die Bilder anfassen können. Das man ausgerechnet mit dem anfälligen öffnet ist eher unwahrscheinlich noch weniger dass man 5 Jahre später noch ne "passende" Version hat. Btw: nur ein Bruchteil der Office-Malware ist auch in docx lauffähig.

[uname]

Imagemagic war lange Zeit (vor allem mangels alternativen) das Haupteinfallstor in Linux-Server. ....

Bilder mögen ja manipuliert oder auch "verseucht" sein. Aber was will das Bildbearbeitungsprogramm damit anfangen? Selbst bei z. B. verseuchten docx-Daokumenten mit schadhaften Scriptcode ist die Frage, was z. B. LibreOffice damit wirklich macht.

Schaut man sich zudem z. B. eine der größten Bedrohungen des vergangenen Jahrzehnts also Emotet an, dann hört man schnell auf zu lesen, da ohne Windows damit praktisch gar nichts geht. Daher war ein Wechsel des Betriebssystems weitaus besser als ein Virenscanner, der Emotet teilweise nicht erkannt hat

https://de.securelist.com/banker-emotet ... ung/59222/
https://de.wikipedia.org/wiki/Emotet

Ich denke eine verseuchte Datei für Windows macht auf einer alternativen Plattform wie z. B. Linux keinen Schaden, selbst wenn dort Programme wie Bildbearbeitungsprogramme potentielle andere Sicherheitsrisiken haben.

[willy4711]

Die Frau ist ihrer eigenen Meinung nach "gehäckt" worden. Obwohl die Rechner nicht mehr genutzt wurden.
Das äußerte sich anfangs nur durch ständige dubiose Anrufe. Die Anrufer hatten komplett alle Daten ihres Mannes. Name, Anschrift, Telefon, Alter, Beruf, einfach alles. Das schlimmste aber war ein PaYPal-Konto, das ihr Mann hatte, von dem sie aber gar nichts wusste. Das ist leergeräumt worden bzw. wurden davon jede Menge Einkäufe getätigt. Die Polizei ermittelt nun und die Frau ist "fix und fertig". Sie sind der Meinung, dass auch die Fritzbox gehäckt wäre usw. usf.

Irgendwie passt das nicht zusammen. Ihr Mann ist 5-6 Jahre tot, wie du sagtest.

PayPal Konten sind ja in der Regel keine Guthaben-Konten, es sei denn man erzielt Verkaufserlöse.
Belastungen dort werden in der Regel sofort von einem Referenz Konto oder einer Kreditkarte abgebucht.

"Leerräumen" ist dort in der Regel nicht möglich. Selbst wenn dort ein Guthaben wäre, muss es ja von irgendwo
aus aufgefüllt worden sein. Also gibt es Kontoauszüge. Bareinzahlungen sind wohl nicht möglich.

Irgendwann gibt es dann aber auf jeden Fall einen Kontoauszug oder eine Mahnung, ausstehende Beträge auszugleichen.
Dies passiert in der Regel zeitnah. Aber sicherlich nicht in einen so langem Zeitraum.
Das hätte doch deiner Bekannten auffallen müssen ?

Der Rechner muss ja auch nicht unbedingt gehackt worden sein.

Jeder wird wohl diese netten Mails kennen, wo man aufgefordert wird, ganz schnell und unbedingt seine Kontodaten zu erneuern,
weil sonst ganz schlimmes passiert.

Kundendatenbanken werden auch jeden Tag irgendwo gehackt. Ist meist wesentlich effektiver.

Dass der Rechner oder gar die Fritzbox gehackt wurde, ist zwar möglich, aber die anderen genannten Gründe halte ich für wahrscheinlicher.
Bevor ich da aus "Nettigkeit" irgend etwas machen würde, würde ich der aus meiner Sicht ziemlich dubiosen (Zeit) Sache
noch mal genau auf den Grund gehen.

[MSfree]

Bilder mögen ja manipuliert oder auch "verseucht" sein. Aber was will das Bildbearbeitungsprogramm damit anfangen?

Der Trick ist, durch Fehler im Programm beim Einlesen der Datei einen Pufferüberlauf zu provozieren und damit z.B. eine Rücksprungadresse im Programm zu manipulieren und dann auf die Bilddaten zu springen. Wenn nun "zufällig" in den Bilddaten gar kein Bildinhalt sondern von der CPU ausführbarer Code steckt, hat der Angreifer gewonnen, dann läuft nämlich sein Code statt dem des Bildbearbeitungsprogramm.

Das gilt natürlich in gleichem Maße für Musik und Filmdateien.

[ottonormal]

Irgendwie passt das nicht zusammen. Ihr Mann ist 5-6 Jahre tot, wie du sagtest.

Das verstehe ich ja auch nicht. Von Paypal habe ich sowieso nicht die Spur einer Ahnung. Dass das jetzt, solange nach dem Tod des Mannes auf einmal kommt, verstehe ich auch nicht. Tatsache ist aber, dass die Täter von dem Paypalkonto lustig eingekauft haben. Immer nur kleine Summen, hier mal 10 Euro und da auch mal 30 Euro. Die Menge der Einkäufe war es aber, was den Schaden verursacht hatte.

Ich gebe hier auch nur das wieder, was mir von der Frau berichtet wurde. Das Bankkonto des Mannes wurde von Paypal immer weiter belastet. Die Frau hat das Bankkonto ihres Mannes nach dessen Tod nicht aufgelöst, weil da einige Daueraufträge und auch regelmäßige Einzahlungen (Mieteinnahmen) mit verbunden waren.

Viel mehr weiß ich auch nicht. Immerhin hat die Bank alle Abbuchungen von Paypal rückgängig machen können, die Frau hat also keinen großen Schaden dadurch. Nun kommt Paypal aber und will Nachweise für das Ableben des Mannes haben. Die Frau hat das Konto damals gekündigt, Paypal verlangt aber alle Daten und Bescheinigungen von der Frau, die das natürlich ablehnt. Warum auch sollte sie ihre persönlichen Daten an Paypal aushändigen?

Ist schon alles ziemlich verwirrend das alles. Ich selbst habe glücklicherweise NUR mit den Rechnern zu tun, das reicht mir aber auch schon.

[OrangeJuice]

Es könnte durchaus sein, dass die FritzBox gehackt wurde, z.B. wenn diese keine aktuelle Firmware hatte, das Passwort 123 war,...
Die Hardware selber kann eine Fernwartungsfunktion haben(z.B. vom Hersteller aktiviert), es gibt auch Bootkits, die die Geräte bei Neuinstallation immer wieder infizieren können.

Klingt aber alles etwas eigenartig. Die Rechner waren nicht(mal "nur zum testen") am Netz, nicht am Router per LAN oder Wlan angeschlossen?

Vielleicht sind die Daten einfach in einem Leak aufgetaucht und werden jetzt verwertet, ggf. mal die Mailadressen überprüfen: haveibeenpwned.com

[Tintom]

Warum auch sollte sie ihre persönlichen Daten an Paypal aushändigen?

Weil Tote keine Vertragspartner sein können und das Unternehmen einen offiziellen Nachweis über den Todeszeitpunkt benötigt. Ohne jetzt die AGB von Paypal zu kennen: Viele Unternehmen regeln in den AGB, dass mit dem Tod der Vertrag endet. Alles Guthaben, was nach dem Todeszeitpunkt abgeflossen ist, ist somit nichtig. Damit sichert sich Paypal gegen Ansprüche der Erben ab und wahrt auch noch seine eigenen Ansprüche, weil für alle Abflüsse ab dem Todeszeitpunkt nun Paypal aufkommen muss. Soweit die Theorie. Da der Todeszeitpunkt schon so lange zurück liegt und nichts veranlasst wurde, dürften die meisten Ansprüche aber schon verfallen sein.

[uname]

Der Trick ist, durch Fehler im Programm beim Einlesen der Datei einen Pufferüberlauf zu provozieren und damit z.B. eine Rücksprungadresse im Programm zu manipulieren und dann auf die Bilddaten zu springen. Wenn nun "zufällig" in den Bilddaten gar kein Bildinhalt sondern von der CPU ausführbarer Code steckt, hat der Angreifer gewonnen, dann läuft nämlich sein Code statt dem des Bildbearbeitungsprogramm.

Das stimmt. Aber sehr unrealistisch wenn Windows verseuchte Dateien irgendwelche Sicherheitslücken in Linux-Anwendungen ausnutzen. Davon habe ich nun noch wirklich nie was gehört. Ich hätte kein Problem eine vollkommen verseuchte Windows-Platte an mein Produktiv-Debian anzukabeln. Aber ich verwende auch keine komplexen Passwörter, da ich auch das vollkommen unnötig finde. Ich habe mich vor einigen Jahren recht intensiv mit Emotet (s.o.) beschäftigt. Identitätsdiebstahl benötigt vor allen Windows und einen Schadcode (Download, "Microsoft"-Mitarbeiter, ...) und weder Linux noch unsichere Passwörter. Mit TLS/SSL ist das WLAN und das Netzwerk inkl. Internet auch als eine Ursache weggefallen.

[Korodny]

Imagemagic war lange Zeit (vor allem mangels alternativen) das Haupteinfallstor in Linux-Server. ....

Selbst bei z. B. verseuchten docx-Daokumenten mit schadhaften Scriptcode ist die Frage, was z. B. LibreOffice damit wirklich macht.

docx- und xlsx-Dateien können keine Macros ("Skriptcode") enthalten, dafür muss man die Formate docm und xlsm benutzen. Da MS Office das auch beim Einlesen sicherstellt, würde ich mal davon ausgehen dass niemand versucht Scriptcode in docx und xlsx unterzubringen.

Auch bei Bildern und Videos wäre ich entspannt - solche Angriffe zielen auf Schwachstellen (Bugs) in einer ganz bestimmten Version einer ganz bestimmten Anwendung. Ich kann mir kaum vorstellen, dass so aufwendige Techniken für generelle, automatisierte Phishing-Versuche eingesetzt werden. Das ist m.E. eher die Kategorie "Angriff auf Atomanlagen im Iran". Aber selbst wenn die Bilder Malware enthielten: Wenn der gute Mann seit sechs Jahren tot ist, ist auch die von der Malware angegriffene Software-Version schon lange nicht mehr aktuell.

Ich würde ebenfalls von einer Linux-Live-CD booten, alle persönlichen Daten auf einer externen Festplatte sichern und dann an einem separaten Linux-Rechner sichten: Gibt es andere Dateiformate als die genannten? Muss ich irgendwas mit einem Online-Virencheck gegenprüfen?

Auf den Problemrechnern dann das neueste Firmware-Update einspielen - wie schon von jemand angeraten ohne den Rechner ans Internet zu lassen - und Linux installieren. Mehr braucht es eigentlich nicht. Wie schon jemand gesagt hat: absolute Sicherheit wird es nie geben, aber wenn der Verstorbene nicht Ziel des israelischen Geheimdienstes war, sollte damit eigentlich Ruhe sein.

Zumindest auf dem Rechner, andere Infrastruktur gilt es ja auch noch zu beachten. Neben dem Router könnten ja auch "smarte" Geräte oder ein Smartphone ein Einfallstor gewesen sein. Gerade Handys, App-Stores und ältere Herrschaften sind meiner Erfahrung nach eine gefährliche Kombination.

Am wahrscheinlichsten dürfte sowieso sein, dass der alte Herr einfach einer Phishing-Mail zum Opfer gefallen ist und auf irgendeiner Fake-Webseite seine Login-Daten angegeben hat ("Ihr Paypal-Account wurde gehackt, bitte klicken Sie hier und verifizieren sie Ihre Identität").

[uname]

... und auf irgendeiner Fake-Webseite seine Login-Daten angegeben hat ...

Ich denke das war für den oben beschriebenen Fall nicht ausreichend. Ich glaube eher, dass er über einen Link oder mit Hilfe eines "Microsoft"-Mitarbeiters Schadcode installiert hat, die ein vollständiges Ausspionieren des Windows-Rechners erst möglich gemacht hat. Aber hierfür müsste man den Rechner forensisch untersuchen. Auch könnte man mal über eine Image-Kopie einen Virenscanner drüberlaufen lassen und die Ergebnisse hier posten. Vielleicht kann auch jemand bei https://www.trojaner-board.de weiterhelfen.

[Korodny]

... und auf irgendeiner Fake-Webseite seine Login-Daten angegeben hat ...

Ich denke das war für den oben beschriebenen Fall nicht ausreichend.

Warum? Die einzige konkrete Info von ottonormal war "Die Anrufer hatten komplett alle Daten ihres Mannes. Name, Anschrift, Telefon, Alter, Beruf, einfach alles.". Ich habe selber kein Paypal - aber die einzige Info, wo ich mich fragen würde ob die in einem gefishten Paypal-Konto verfügbar wäre, ist "Beruf".