Ich habe die Verbindung über den Taskmanager umgehend getrennt
gut
und relevante Passwörter geändert,
auch gut
was in Summe wohl nicht ausreichend ist.
kommt drauf an, wie der 'Böse' drauf gekommen ist.
Doch um das feststellen zu können, muss man den Server vom Netz nehmen.
Dann kann man in den Logs nachsehen, wie der Zugriff erfolgte, denn wenn das Admin-Passwort genommen wurde (und wenn der andere Admin war, muss er dieses ja gehabt haben), müsste man nachsehen, wie der Zugriff möglich war, damit (nach einem neuaufsetzten des System) dieses nicht nochmals passiert.
Es gibt einige einfachste Ratschläge, die man immer umsetzten kann.
So ist der wichtigste Punkt, dass man den lokalen Administrator umbenennt.
Bei einem Kunden haben sie anschließend den (gesperrten) Gast-User in "Administrator" umbenannt.
Das wichtigste ist aber, den Server vom Netz nehmen.
Erst dann kann man ihn untersichen.