Windows 10: Was ist die REMSH.exe?

[English]Kürzlich bin ich in einem Forenbeitrag über die Frage gestolpert, für was die Programmdatei REMSH.exe eigentlich sei. Hier einige Informationen zu diesem Thema.


Werbung



Der erste Fall, der mir unter die Augen kam

Zum ersten Mal bin ich in diesem Thread auf die das Programm REMSH.exe und die Frage gestoßen, was das für eine Datei sei. Der Nutzer schrieb:

Firewall meldet seit ein paar Wochen, dass REMSH.exe Verbindung zu MS aufbauen möchte

Seit einiger Zeit erhalte ich div. Firewallmeldungen, dass die Datei remsh.exe aus dem Pfad C:\Program Files\rempl\ eine Verbindung zu einer IP aufbauen möchte, die lt. IP Abfrage zur Microsoft Corporation, genauer zu Microsoft Azure, gehört.

Kann mir jemand sagen, was diese Datei machen möchte und woher die kommt? Es handelt sich bei allen betroffenen Rechnern um Windows 10 Pro mit Commodo Firewall 10.

Eine kurze Suche im Internet schien nicht wirklich hilfreich. Der erste Treffer im Microsoft Answers Forum, den ich fand, behauptete, dass das Malware sei. Der Benutzer schrieb:

What is remsh.exe?

remsh.exe (C:\Program Files\rempl\remsh.exe) try to access the Internet these days

remsh.exe is signed by Microsoft. It also has high CPU usage and disk writing sometimes.

What is remsh.exe? What is it for?

Auch dieser Microsoft Answers Forenbeitrag zielte in die gleiche Richtung, wobei ich die Antwort des Microsoft-Mitarbeiters schon mit Erstaunen zur Kenntnis nahm. Dann stieß ich hier auf eine Diskussion, wo Rempl wöchentlich Aufgaben anstieß.


Werbung

Kann REMSH.exe Malware sein?

Die brennendste Frage ist: handelt es sich bei remsh.exe um Malware, oder stammt die Programmdatei von Microsoft. In diversen Forenbeiträgen wurde immer wieder der folgende Pfad für die Datei angegeben.

C:\Program Files\rempl\

Und der in obigem Abschnitt zitierte Nutzer gab ja an, dass die Programmdatei Kontakt mit einem Microsoft Azure Server aufnehmen wollte. Sprach für ein legitimes Programm. Aber ein kurzer Test auf meinen Windows 10-Systemen ergab, dass dort keine entsprechende Datei vorhanden war. Könnte also doch Malware sein.

REMSH.exe

In solchen Zweifelsfällen ist es immer gut, die betreffende Datei per Rechtsklick anzuwählen und im Kontextmenü Eigenschaften zu wählen. Auf der Registerkarte Digitale Signaturen bekommt man dann heraus, wer die Datei signiert hat. Hier hat ein Benutzer den obigen Screenshot gepostet. Die Datei wurde durch Microsoft digital signiert – es handelt sich also nicht um Malware.

Was man auch tun sollte, falls es Zweifel gibt: Die betreffende Datei zu Virus Total hochladen und auf Malware prüfen lassen.

Aber wofür ist REMSH.exe gut?

Nachdem die Frage ‘Malware oder nicht’ geklärt zu sein schein, noch ein kurzer Exkurs, wofür die Datei REMSH.exe auf Windows 10 Maschinen kommt und warum nicht jeder diese Datei auf der Maschine hat. Im Microsoft KB-Beitrag 4023057 gibt es die Auflösung. Zur Zeit, als dieser Text entstand, behandelte KB4023057 das Update to Windows 10 Versions 1507, 1511, and 1607 for update reliability: November 2, 2017. Microsoft gibt als Zweck des Updates folgendes an:

This update includes reliability improvements that affect the update components in Windows 10 Versions 1507, 1511, and 1607.

Das Update enthält also Zuverlässigkeitsverbesserungen für die Update-Komponenten der Windows 10 Versionen 1507, 1511 und 1607. Dann erfährt man noch folgendes:

This update includes files and resources that address issues that affect the update processes in Windows 10. These improvements ensure that quality updates are installed seamlessly to improve the reliability and security of Windows 10.

Only certain builds of Windows 10 Versions 1507, 1511, and 1607 require this update. Devices that are running those builds will automatically get the update downloaded and installed through Windows Update.

Irgendwie muss Microsoft dafür sorgen, dass Quality-Updates problemlos auf den Maschinen installiert werden. Offenbar gibt es bestimmte Szenarien, wo es in der Vergangenheit geklemmt hat. Genau auf diesen Maschinen wird dann das Update installiert.

Das ist jetzt alles recht spannend, aber wie kommt nun REMSH.exe ins Spiel? Geht man in den KB-Beitrag, gibt es eine Referenz auf die Datei:

File name File version File size Date Time
Remsh.exe 10.0.14393.1273 707,064 29-Sep-2017 03:28

Die Dateiversion kann variieren. Aber hier schließt sich der Kreis. Die Datei wird nur für Windows 10 Versions 1507, 1511 und 1607 verteilt und nur auf Maschinen, die mit der Update-Installation Probleme machen. Das erklärt, warum ich die Datei niemals bekommen habe. Beim Namen könnte man nun noch etwas spekulieren: RemSh könnte für Reliability Monitor Shell stehen, über die bestimmte Prüfungen per Aufgabenplanung vorgenommen werden. Aber das ist jetzt reine Spekulation.

Ich hoffe, es hat etwas Licht in die Angelegenheit gebracht – auch wenn Microsoft-Mitarbeiter in den Microsoft Answers-Foren behaupten, dass es sich um Malware handele. Ich schreibe jetzt nicht ‘die Leutchen haben Recht, denn was aus Redmond kommt, hat inzwischen den Status von Malware’ – denn das würde mir ja doch wieder als Hetze ausgelegt Zwinkerndes Smiley.


Werbung

Dieser Beitrag wurde unter Windows 10 abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Kommentare zu Windows 10: Was ist die REMSH.exe?

  1. Dieter Schmitz sagt:

    Sehr gehrter Herr Born,

    warum gibt es bei MicroSoft keine Dokumentation zu den diversen exe-Programmen, so wie es früher dicke Handbücher zu DOS gab, in denen alle Programme aufgeführt und mit Kommandozeilenoptionen erläutert waren?

    Es muss ja kein Buch sein, online wäre ausreichend.

    Ein Beispiel zu MicroSofts Unvermögen:

    Der Befehl powercfg.exe, der auch in aktuellen Windows-Versionen enthalten ist, präsentiert sich so:

    https://technet.microsoft.com/en-us/library/hh824902.aspx

    Mit dem Hinweis “This documentation is archived and is not being maintained.“, der bei der deutschen Ausgabe fehlt!
    Wird die deutsche Übersetzung aktualisiert, die englische nicht???

    https://technet.microsoft.com/de-de/library/cc748940(v=ws.10).aspx

    Und warum wird ein aktueller Befehl nicht dokumentiert???

    Was ist daran so schwer, ab und zu eine Ergänzung vorzunehmen?

    Und warum findet man die Erläuterung zu dem Befehl powercfg.exe im Windows IT Pro Center, die Erläuterung zu pushd und popd in der Technet Library?

    https://technet.microsoft.com/de-de/library/bb490978.aspx

    Warum nicht EINE einheitliche Online-Plattform mit Erläuterungen zu den Befehlen?

    Warum bekommt das so ein Riesen-Konzern nicht hin?

    • Günter Born sagt:

      Da bin ich die denkbar schlechteste Stelle, bei der diese Frage gestellt werden kann. Ich könnte zwar jetzt aus dem Nähkästchen meiner Erfahrungen aus einem Großunternehmen berichten – wo es nur Dokumentation gab, wenn ich diese verfasst habe. Ist aber 24 Jahre her und daher uralt – die Welt hat sich weiter gedreht.

      ‘Alle Welt’ behauptet nun, man braucht keine Dokumentation (und vor allem keine Bücher) mehr, ist doch alles intuitiv. Hinzu kommt die ‘wir machen jetzt in as a service’-Geschichte, wo gejubelt wird, wenn eine Schaltfläche von oben links nach unten rechts wandert und wo Dokumentation nicht mehr geleistet werden kann.

      Dokumentation wird scheinbar als Ballast gesehen und abgeschafft. Ich schätze, die Zunft ist gerade dabei, sich selbst zu richten. Spannende Frage ist halt, wie lange es dafür braucht …

      • Dieter Schmitz sagt:

        Sehr gehrter Herr Born,

        vielen Dank für die Einschätzung der Situation.

        Ein Programm wie z.B. powercfg.exe ist allerdings nicht selbsterklärend und bedarf meiner Meinung nach einer vernünftigen Erläuterung.

        So hilft der Parameter /energy bei der Suche nach problematischen Geräten/Treibern. Solche Parameter gehören meiner Meinung nach dokumentiert.

        Man könnte noch viele Beispiele anfügen.

        Früher konnte man noch RTFM sagen, heute würde man verständnislos angeschaut werden.

        Danke für Ihre Webseite, die Licht ins Dunkel bringt.

        • Günter Born sagt:

          Auch eine App bzw. deren Optionen sind nicht selbsterklärend. Ich habe oft Stunden beim Schreiben meiner diversen Windows-Bücher gesessen, recherchiert und mit meinem Fachlektor gerätselt, was diese oder jene Option (auch im Explorer) wohl bedeuten mag. Alleine, es gab nix – und das war noch in den (im Rückblick) guten Windows 8-Zeiten.

          Heute werde ich dann von MS Field Engineers schon mal bei FB belehrt, dass man dieses oder jenes halt wisse, und falls nicht, man halt nicht drüber bloggen sollte …

          So what … die werden es schon richten, die Strategen an der West Coast. Ich sehe es mittlerweile mit Humor – wenn Du dem Kind drei Mal sagst ‘Vorsicht, die Kerzenflamme ist heiß’ und es wirkt immer noch nicht, muss sich dieses halt die Pfoten verbrennen. Sobald es richtig weh tut, setzt meist ein gewisser Lerneffekt ein.

  2. André sagt:

    Also ich habe mal kurz das tool analysiert. Es greift auf Registry Keys unter Software\\Microsoft\\rempl\\remediationresults, Software\\Microsoft\\Windows\\CurrentVersion\\rempl\\settings und Software\\Microsoft\\Remediation\\LocalState\\Telemetry

    Remediation bedeutet laut Übersetzer so etwas wie Sanierung/Korrektur. laut den Einträgen in der registry is dieser geplante Task da um Windows etwas zu reparieren und aufzuräumen. Ich denke mal damit will MS Updateprobleme auf eine neue Funktionsversion wie 1709 beseitigen.

    Unter HKLM\Software\\Microsoft\\Windows\\CurrentVersion\\rempl\\settings gibt es einen Eintrag ENABLED mit 1. Vllt hilft es ja den Wert auf 0 zu setzen um das Programm zu hindern zu starten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.