Hi!
Um es kurz und schmerzvoll zu machen :
Nochmal als Zusammenfassung. Wir sprechen hier von einem Vollprofi unter den Hackern, der die Computer von diesen zwei Personen vollständig im Griff hat. Wie können sie sich abnabeln?
Indem sie beide zur Polizei gehen und Anzeige erstatten.
Wenn auch nur ein viertel des über Umwege gehörten war sein sollte, dann fällt das sicherlich irgendwo unter Stalking. Das merkwürdigste an der Geschichte ist aber eigentlich, dass man offenbar rein gar nichts unternimmt und stattdessen lieber die Story vom bösen Superhacker in der eigenen Familie weiterverbreitet. 
Ansonsten sollte man einige Punkte mal logisch betrachten. Wieviele Leute besitzen heute ein Handy? Und wieviele legen es bei der Arbeit auf den Tisch neben den PC? Ich gehöre auch dazu. Könnte ich mit meinem alten Handy irgendwas vom PC speichern? Ja, ich müsste es per USB-Kabel anschliessen und dann Daten kopieren. Oder sehr viel am Handy herumtippen. Wenn ich einen rechner bei Bekannten einrichte quake ich eigentlich soviel udn bis damit beschäfftigt Kaffee und Kuchen zu verdrücken, dass ich für letzteres gar keine Zeit habe...
Was aber richtig ist, dass jemand der einen Rechner und ein WLAN-Netzwerk einrichtet, dessen Passwörter kennt. Vermutlich auch das Mailpasswort, wenn er einem unbedarften User alles einrichten muss (evtl. musste er ja sogar den Mailaccount anlegen).
Das habe ich auch schon gemacht, nur kann ich mir Passwörter nicht ohne Aufschreiben merken - so wie etwa 80% der restlichen Bevölkerung.
Es sei denn, die Passwörter werden nach Hunde, Katzen, Schatzi oder Kindernamen benannt. Dass kann sogar ich mir merken und dann muss man auch kein Hacker sein, um da ein Konto zu übernehmen, man muss schliesslich nur das Passwort erraten.
(Das fällt übrigens unter den Begriff "Social Engeneering" und ist das, was Spione so üblicherweise anwenden, wenn sie an Information ranwollen.)
http://de.wikipedia.org/wiki/Social_Engineering_%28Sicherheit%29
Generell klingt deine Erzählung weniger nach einem Superhacker, sondern eher nach einem guten Spion. 
Es ist zwar möglich eine Webcam "abzuhören" (keine Ahnung wie man das genau macht, aber offenbar kann man einzelne Modell(?) so konfigurieren, dass sie ihr Bild direkt im Internet bereitstellen. Ich denke zwar, dass das hinter einem Router nicht direkt geht, aber da können andere mehr sagen.
Aus der Tatsache das die meisten Webcams über oder neben dem Monitor stehen und den User "anschauen", leite ich aber ab, dass es schwierig ist, damit zu sehen, was auf dem Monitor passiert. Ich bin jetzt mehr der Mensch fürs Mechanische. Ich würde sagen, um mitzufilmen, was im Rechner passiert, müsste die Kamera etwa 30cm auf den User zufahren und sich dann um 180 Grad drehen. Also mich würde das als User stören, wenn sich meine USB-kamera mir ständig in den Weg stellt. Und selbst dann dürfte die Filmqualität von der Auflösung her grauslich sein (was ist so die normale Auflösung der älteren 08/15 Billigkameras 640x480 Punkte?).
OK, lassen wir mal das ganze Voodoo weg, das da im Raum schwebt.
Es besteht der Verdacht, dass der Rechner kontrolliert wird. Das wäre über ein Troyaner möglich oder einen Keylogger um an Passwörter heranzukommen.
Der WLAN-Zugang ist zudem offen oder das Passwort bekannt. Dann könnte jemand der den Zugang hat auf freigegebene Resourcen der anderen Rechner im Netzwerk zugreifen.
Evtl. sind Konten und Accountdaten von Dienstleistern komprimitiert.
Abhilfe:
1. Die Rechner neu aufsetzen. Dabei am besten von einer auf einem komplett anderen Rechnern heruntergeladen Linux-Live-Version starten und die Platte neu formatieren. Nach dem Einrichten (nur von Originaldatenträgern!), keine Netzwerkwerkfreigaben einrichten, die unverschlüsselten Zugriff gestatten. Zudem sollte der normale Windows-User ein Passwort bekommen, das nicht erraten werden kann.
Zudem alle Speicherkarten und USB-Sticks auf Viren prüfen. (Ditto für gebrannte CDs und DVDs die genutzt werden. Der Rest geht direkt in den Werkstoffhof oder wird geschreddert.)
2. Das WLAN-Netzwerk neu einrichten. WPA2-Verschlüsselung mit langem Passwort wählen (32 Zeichen, Buchstaben und Ziffern bunt gemischt - nicht aus ganzen Wörtern zusammenbauen!)
WPA2 ist weiterhin das Mass der Dinge, was die Verschlüsselung angeht. Es gilt weiterhin als nicht hackbar (das gilt für mich solange bis die c't etwas anderes behauptet).
http://www.heise.de/ct/hotline/FAQ-WLAN-sicher-nutzen-1128230.html
Das WLAN-Passwort darf natürlich nicht herausgegeben werden!
3. Wenn der Verdacht besteht, dass Email- und sonstige Konten (Ebay, Bank usw.) übernommen wurden oder deren Passwörter bekannt sind, dann neue beantragen. Falls man das benötigt, kann man hier den Postweg wählen oder zum Telefon greifen, sofern das machbar ist (z.B. bei Bankkonten!). Es wäre sicherlich kein Fehler sich dazu ein komplett neuen EMail-Anbieter zu suchen. Damit hat man dann wieder eine sichere Emailadresse.
Sollten Bankkonten oder Kreditkarten betroffen sein, ist es logisch und nachvollziehbar sein, dass man sich sofort(!) zur Bank begibt und/oder telefonisch die Karten und das Konto sperrt. Die Banken helfen da gerne weiter.
Bis dann
Andreas
Andreas42
warsteiner
