{"id":196046,"date":"2017-11-05T01:45:00","date_gmt":"2017-11-05T00:45:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=196046"},"modified":"2018-02-10T07:22:15","modified_gmt":"2018-02-10T06:22:15","slug":"windows-10-was-ist-die-remsh-exe","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/11\/05\/windows-10-was-ist-die-remsh-exe\/","title":{"rendered":"Windows 10: Was ist die REMSH.exe?"},"content":{"rendered":"

[English<\/a>]K\u00fcrzlich bin ich in einem Forenbeitrag \u00fcber die Frage gestolpert, f\u00fcr was die Programmdatei REMSH.exe<\/em> eigentlich sei. Hier einige Informationen zu diesem Thema.<\/p>\n

<\/p>\n

Der erste Fall, der mir unter die Augen kam<\/h2>\n

\"\"Zum ersten Mal bin ich in diesem Thread<\/a> auf die das Programm REMSH.exe<\/em> und die Frage gesto\u00dfen, was das f\u00fcr eine Datei sei. Der Nutzer schrieb:<\/p>\n

Firewall meldet seit ein paar Wochen, dass REMSH.exe Verbindung zu MS aufbauen m\u00f6chte<\/strong><\/p><\/blockquote>\n

Seit einiger Zeit erhalte ich div. Firewallmeldungen, dass die Datei remsh.exe aus dem Pfad C:\\Program Files\\rempl\\ eine Verbindung zu einer IP aufbauen m\u00f6chte, die lt. IP Abfrage zur Microsoft Corporation, genauer zu Microsoft Azure, geh\u00f6rt.<\/p>\n

Kann mir jemand sagen, was diese Datei machen m\u00f6chte und woher die kommt? Es handelt sich bei allen betroffenen Rechnern um Windows 10 Pro mit Commodo Firewall 10.<\/p><\/blockquote>\n

Eine kurze Suche im Internet schien nicht wirklich hilfreich. Der erste Treffer im Microsoft Answers Forum<\/a>, den ich fand, behauptete, dass das Malware sei. Der Benutzer schrieb:<\/p>\n

What is remsh.exe?<\/p>\n

remsh.exe (C:\\Program Files\\rempl\\remsh.exe) try to access the Internet these days<\/p>\n

remsh.exe is signed by Microsoft. It also has high CPU usage and disk writing sometimes.<\/p>\n

What is remsh.exe? What is it for?<\/p><\/blockquote>\n

Auch dieser Microsoft Answers Forenbeitrag<\/a> zielte in die gleiche Richtung, wobei ich die Antwort des Microsoft-Mitarbeiters schon mit Erstaunen zur Kenntnis nahm. Dann stie\u00df ich hier<\/a> auf eine Diskussion, wo Rempl <\/em>w\u00f6chentlich Aufgaben anstie\u00df.<\/p>\n

Kann REMSH.exe Malware sein?<\/h2>\n

Die brennendste Frage ist: handelt es sich bei remsh.exe<\/em> um Malware, oder stammt die Programmdatei von Microsoft. In diversen Forenbeitr\u00e4gen wurde immer wieder der folgende Pfad f\u00fcr die Datei angegeben.<\/p>\n

C:\\Program Files\\rempl\\<\/em><\/p>\n

Und der in obigem Abschnitt zitierte Nutzer gab ja an, dass die Programmdatei Kontakt mit einem Microsoft Azure Server aufnehmen wollte. Sprach f\u00fcr ein legitimes Programm. Aber ein kurzer Test auf meinen Windows 10-Systemen ergab, dass dort keine entsprechende Datei vorhanden war. K\u00f6nnte also doch Malware sein.<\/p>\n

\"REMSH.exe\"<\/p>\n

In solchen Zweifelsf\u00e4llen ist es immer gut, die betreffende Datei per Rechtsklick anzuw\u00e4hlen und im Kontextmen\u00fc Eigenschaften <\/em>zu w\u00e4hlen. Auf der Registerkarte Digitale Signaturen<\/em> bekommt man dann heraus, wer die Datei signiert hat. Hier<\/a> hat ein Benutzer den obigen Screenshot gepostet. Die Datei wurde durch Microsoft digital signiert \u2013 es handelt sich also nicht um Malware.<\/p>\n

Was man auch tun sollte, falls es Zweifel gibt: Die betreffende Datei zu Virus Total<\/a> hochladen und auf Malware pr\u00fcfen lassen.<\/p><\/blockquote>\n

Aber wof\u00fcr ist REMSH.exe gut?<\/h2>\n

Nachdem die Frage 'Malware oder nicht' gekl\u00e4rt zu sein schein, noch ein kurzer Exkurs, wof\u00fcr die Datei REMSH.exe<\/em> auf Windows 10 Maschinen kommt und warum nicht jeder diese Datei auf der Maschine hat. Im Microsoft KB-Beitrag 4023057<\/a> gibt es die Aufl\u00f6sung. Zur Zeit, als dieser Text entstand, behandelte KB4023057 das Update to Windows 10 Versions 1507, 1511, and 1607 for update reliability: November 2, 2017<\/em>. Microsoft gibt als Zweck des Updates folgendes an:<\/p>\n

This update includes reliability improvements that affect the update components in Windows 10 Versions 1507, 1511, and 1607.<\/p><\/blockquote>\n

Das Update enth\u00e4lt also Zuverl\u00e4ssigkeitsverbesserungen f\u00fcr die Update-Komponenten der Windows 10 Versionen 1507, 1511 und 1607. Dann erf\u00e4hrt man noch folgendes:<\/p>\n

This update includes files and resources that address issues that affect the update processes in Windows 10. These improvements ensure that quality updates are installed seamlessly to improve the reliability and security of Windows 10.<\/p>\n

Only certain builds of Windows 10 Versions 1507, 1511, and 1607 require this update. Devices that are running those builds will automatically get the update downloaded and installed through Windows Update.<\/p><\/blockquote>\n

Irgendwie muss Microsoft daf\u00fcr sorgen, dass Quality-Updates problemlos auf den Maschinen installiert werden. Offenbar gibt es bestimmte Szenarien, wo es in der Vergangenheit geklemmt hat. Genau auf diesen Maschinen wird dann das Update installiert.<\/p>\n

Das ist jetzt alles recht spannend, aber wie kommt nun REMSH.exe<\/em> ins Spiel? Geht man in den KB-Beitrag, gibt es eine Referenz auf die Datei:<\/p>\n\n\n\n\n
File name<\/strong><\/td>\nFile version<\/strong><\/td>\nFile size<\/strong><\/td>\nDate<\/strong><\/td>\nTime<\/strong><\/td>\n<\/tr>\n
Remsh.exe<\/td>\n10.0.14393.1273<\/td>\n707,064<\/td>\n29-Sep-2017<\/td>\n03:28<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Die Dateiversion kann variieren. Aber hier schlie\u00dft sich der Kreis. Die Datei wird nur f\u00fcr Windows 10 Versions 1507, 1511 und 1607 verteilt und nur auf Maschinen, die mit der Update-Installation Probleme machen. Das erkl\u00e4rt, warum ich die Datei niemals bekommen habe. Beim Namen k\u00f6nnte man nun noch etwas spekulieren: RemSh k\u00f6nnte f\u00fcr Reliability Monitor Shell stehen, \u00fcber die bestimmte Pr\u00fcfungen per Aufgabenplanung vorgenommen werden. Aber das ist jetzt reine Spekulation. Erg\u00e4nzung:<\/strong> Der Name steht f\u00fcr Remediation Shell – ein paar mehr Details, was das Programm macht und was weitere Dateien in dem Programmordner f\u00fcr Bedeutung haben, sind im Blog-Beitrag\u00a0Windows 10 Zuverl\u00e4ssigkeitsupdate KB4023057 (8.2.2018)<\/a>\u00a0zu finden.<\/p>\n

Ich hoffe, es hat etwas Licht in die Angelegenheit gebracht \u2013 auch wenn Microsoft-Mitarbeiter in den Microsoft Answers-Foren behaupten, dass es sich um Malware handele. Ich schreibe jetzt nicht 'die Leutchen haben Recht, denn was aus Redmond kommt, hat inzwischen den Status von Malware' \u2013 denn das w\u00fcrde mir ja doch wieder als Hetze ausgelegt \"Zwinkerndes.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"

[English]K\u00fcrzlich bin ich in einem Forenbeitrag \u00fcber die Frage gestolpert, f\u00fcr was die Programmdatei REMSH.exe eigentlich sei. Hier einige Informationen zu diesem Thema.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3694],"tags":[6625,4378],"class_list":["post-196046","post","type-post","status-publish","format-standard","hentry","category-windows-10","tag-remsh-exe","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/196046","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=196046"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/196046\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=196046"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=196046"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=196046"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}