Du solltest folgendes klären:
- Hattest du Remote-Desktop nur in deinem Netzwerk freigegeben, oder auch den Zugriff "aus dem Internet" gestattet? Und wie sicher war dann dein Passwort? ;-)
- Ist das Notebook auch betroffen (bzw. das Gerät, von dem aus du über Remote-Desktop zugreifst)?
- Hast du stets alle Updates (Betriebssystem, Browser, sonstige Software) ASAP auf allen Rechnern eingespielt?
- Waren Fremdrechner (Freunde!) mit deinem Netzwerk verbunden?
- Hast du in letzter Zeit irgendwelche Dokumente (doc*, pdf, xls*...) geöffnet? War das Ausführen von Skripten z.B. in Word erlaubt / hast du es auf Anforderung erlaubt? Kam z.B. eine Meldung, dass ein Dokument nicht geöffnet werden kann?
Das kompromittierende Ereignis kann auch ein paar Wochen zurückliegen - Trojaner wie z.B. Emotet verhalten sich evtl. wochenlang möglichst unauffällig, bevor Schadfunktionen ausgeführt werden. Davor sieht sich ggf. jemand auf deinem Rechner/in deinem Netzwerk um - um zu bestimmen, wie wertvoll deine Rechnerinhalte sind. Individueller Kundenservice! ;-)
Bzgl. dem Notebook: Lade dir das Windows System Control Center (WSCC) runter. Installieren, als Admin starten und alle Tools von Sysinternals runterladen (alles andere, wenn du willst, auch). Bei ein oder zwei Tools von NirSoft kann es einen Fehlalarm von Windows Defender o.ä. geben, aber die brauchst du auch nicht.
Sobald die heruntergeladen sind, startest du erstens den Process Explorer als Admin und aktivierst unter Options "Verfiy Image Signatur" und im Untermenü von "Virus Total" beide Optionen. Unter View aktivierst du "Show lower Pane" und drückst dann STRG+D.
In dem Hauptfenster vom Process Explorer siehst du nun alle laufenden Prozesse, in der Spalte von Virustotal siehst du, ob irgendein Prozess von Virustotal als problematisch erkannt wurde. Klappt natürlich nur, wenn dein Trojaner nicht allzu neu ist und wenn er sich nicht erfolgreich versteckt. Prozesse ohne verifizierte Signatur (Spalte: Verified Signer) können problematisch sein - vor allem, wenn sie im Process Explorer als Hintergrundfarbe ein kräftiges Lila haben. Im aktivierten "Lower Pane" kannst du die DLLs zum jeweiligen Prozess sehen - auch die werden mit Virustotal überprüft.
Dass ein Eintrag mal ein, zwei positive Funde hat, kommt häufiger vor. Meist sind das aber auch Einträge, die man sowieso als unverdächtig einordnen kann.
Mit dem Tool Autoruns kannst du überprüfen, was so alles zu Beginn gestartet wird. Auch dort gibt's im Menü die Punkte Virustotal & Verify Image, die du aktivieren solltest. Microsoft-Einträge kannst du ausblenden.
Falls du was Verdächtiges findest, dann solltest du im Process Explorer zuerst alle verdächtigen Prozesse auf Suspend stellen (Kontextmenü) und erst dann nacheinander abschießen - die überwachen sich nämlich ggf. gegenseitig; Mit Autoruns solltest du in diesem Fall auch etliche Einträge finden, die du unbedingt deaktivieren oder löschen musst. Wenn du in Autoruns Einträge mit komischen Namen findest (sowas wie yghdfuunyoezh.exe/dll): sicherheitshalber deaktivieren, falls keine verifizierte Signatur angezeigt wird.
Verwenden könntest du auch Tools wie den Process Monitor - da musst du dann eben alle legitimen Prozesse durch die Filtereinstellungen rausfiltern. Ist aber auch ein hervorragendes Tool.
Willst du alle Dateien z.B. im Windows-Ordner und den Unterordnern darauf überprüfen, ob die digitale Signatur okay ist und ggf. mit Virus Total überprüfen, kannst du das Kommandozeilentool SigCheck verwenden.
Ggf. - und das ist eigentlich zu empfehlen - verwendest du Antivirentools und z.B. Autoruns (mit Analyze Offline System) und SigCheck (auch) von einem Bootstick aus.
Das Notebook solltest du in jedem Fall auch mit einem Virenscanner überprüfen - und zwar - wie erwähnt - mit einem von einem Bootstick; Defender offline kannst du auch mal starten (Updates & Sicherheit -> Viren- und Bedrohungsschutz -> Scanoptionen -> Überprüfung mit Defender Offline). Aktuelle Virensignaturen sind dabei wichtig - es dauert schon mal etliche Stunden bis Tage, bis alle Virenscanner neue Malware erkennen.
Bzgl. deines in jedem Fall verseuchten PCs: da brauchst du in jedem Fall einen Bootstick. Dort sollte die Überprüfung vorrangig dazu dienen, herauszufinden mit welcher Schadsoftware du es zu tun hast. Dann kannst du auch danach suchen, was die normalerweise macht. Tendenziell solltest du Windows dort eher neu installieren.