Windows 10: Was ist die REMSH.exe?

[English]Kürzlich bin ich in einem Forenbeitrag über die Frage gestolpert, für was die Programmdatei REMSH.exe eigentlich sei. Hier einige Informationen zu diesem Thema.


Anzeige

Der erste Fall, der mir unter die Augen kam

Zum ersten Mal bin ich in diesem Thread auf die das Programm REMSH.exe und die Frage gestoßen, was das für eine Datei sei. Der Nutzer schrieb:

Firewall meldet seit ein paar Wochen, dass REMSH.exe Verbindung zu MS aufbauen möchte

Seit einiger Zeit erhalte ich div. Firewallmeldungen, dass die Datei remsh.exe aus dem Pfad C:\Program Files\rempl\ eine Verbindung zu einer IP aufbauen möchte, die lt. IP Abfrage zur Microsoft Corporation, genauer zu Microsoft Azure, gehört.

Kann mir jemand sagen, was diese Datei machen möchte und woher die kommt? Es handelt sich bei allen betroffenen Rechnern um Windows 10 Pro mit Commodo Firewall 10.

Eine kurze Suche im Internet schien nicht wirklich hilfreich. Der erste Treffer im Microsoft Answers Forum, den ich fand, behauptete, dass das Malware sei. Der Benutzer schrieb:

What is remsh.exe?

remsh.exe (C:\Program Files\rempl\remsh.exe) try to access the Internet these days

remsh.exe is signed by Microsoft. It also has high CPU usage and disk writing sometimes.

What is remsh.exe? What is it for?

Auch dieser Microsoft Answers Forenbeitrag zielte in die gleiche Richtung, wobei ich die Antwort des Microsoft-Mitarbeiters schon mit Erstaunen zur Kenntnis nahm. Dann stieß ich hier auf eine Diskussion, wo Rempl wöchentlich Aufgaben anstieß.

Kann REMSH.exe Malware sein?

Die brennendste Frage ist: handelt es sich bei remsh.exe um Malware, oder stammt die Programmdatei von Microsoft. In diversen Forenbeiträgen wurde immer wieder der folgende Pfad für die Datei angegeben.


Anzeige

C:\Program Files\rempl\

Und der in obigem Abschnitt zitierte Nutzer gab ja an, dass die Programmdatei Kontakt mit einem Microsoft Azure Server aufnehmen wollte. Sprach für ein legitimes Programm. Aber ein kurzer Test auf meinen Windows 10-Systemen ergab, dass dort keine entsprechende Datei vorhanden war. Könnte also doch Malware sein.

REMSH.exe

In solchen Zweifelsfällen ist es immer gut, die betreffende Datei per Rechtsklick anzuwählen und im Kontextmenü Eigenschaften zu wählen. Auf der Registerkarte Digitale Signaturen bekommt man dann heraus, wer die Datei signiert hat. Hier hat ein Benutzer den obigen Screenshot gepostet. Die Datei wurde durch Microsoft digital signiert – es handelt sich also nicht um Malware.

Was man auch tun sollte, falls es Zweifel gibt: Die betreffende Datei zu Virus Total hochladen und auf Malware prüfen lassen.

Aber wofür ist REMSH.exe gut?

Nachdem die Frage 'Malware oder nicht' geklärt zu sein schein, noch ein kurzer Exkurs, wofür die Datei REMSH.exe auf Windows 10 Maschinen kommt und warum nicht jeder diese Datei auf der Maschine hat. Im Microsoft KB-Beitrag 4023057 gibt es die Auflösung. Zur Zeit, als dieser Text entstand, behandelte KB4023057 das Update to Windows 10 Versions 1507, 1511, and 1607 for update reliability: November 2, 2017. Microsoft gibt als Zweck des Updates folgendes an:

This update includes reliability improvements that affect the update components in Windows 10 Versions 1507, 1511, and 1607.

Das Update enthält also Zuverlässigkeitsverbesserungen für die Update-Komponenten der Windows 10 Versionen 1507, 1511 und 1607. Dann erfährt man noch folgendes:

This update includes files and resources that address issues that affect the update processes in Windows 10. These improvements ensure that quality updates are installed seamlessly to improve the reliability and security of Windows 10.

Only certain builds of Windows 10 Versions 1507, 1511, and 1607 require this update. Devices that are running those builds will automatically get the update downloaded and installed through Windows Update.

Irgendwie muss Microsoft dafür sorgen, dass Quality-Updates problemlos auf den Maschinen installiert werden. Offenbar gibt es bestimmte Szenarien, wo es in der Vergangenheit geklemmt hat. Genau auf diesen Maschinen wird dann das Update installiert.

Das ist jetzt alles recht spannend, aber wie kommt nun REMSH.exe ins Spiel? Geht man in den KB-Beitrag, gibt es eine Referenz auf die Datei:

File name File version File size Date Time
Remsh.exe 10.0.14393.1273 707,064 29-Sep-2017 03:28

Die Dateiversion kann variieren. Aber hier schließt sich der Kreis. Die Datei wird nur für Windows 10 Versions 1507, 1511 und 1607 verteilt und nur auf Maschinen, die mit der Update-Installation Probleme machen. Das erklärt, warum ich die Datei niemals bekommen habe. Beim Namen könnte man nun noch etwas spekulieren: RemSh könnte für Reliability Monitor Shell stehen, über die bestimmte Prüfungen per Aufgabenplanung vorgenommen werden. Aber das ist jetzt reine Spekulation. Ergänzung: Der Name steht für Remediation Shell – ein paar mehr Details, was das Programm macht und was weitere Dateien in dem Programmordner für Bedeutung haben, sind im Blog-Beitrag Windows 10 Zuverlässigkeitsupdate KB4023057 (8.2.2018) zu finden.

Ich hoffe, es hat etwas Licht in die Angelegenheit gebracht – auch wenn Microsoft-Mitarbeiter in den Microsoft Answers-Foren behaupten, dass es sich um Malware handele. Ich schreibe jetzt nicht 'die Leutchen haben Recht, denn was aus Redmond kommt, hat inzwischen den Status von Malware' – denn das würde mir ja doch wieder als Hetze ausgelegt Zwinkerndes Smiley.


Anzeige

Dieser Beitrag wurde unter Windows 10 abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

16 Antworten zu Windows 10: Was ist die REMSH.exe?

  1. Dieter Schmitz sagt:

    Sehr gehrter Herr Born,

    warum gibt es bei MicroSoft keine Dokumentation zu den diversen exe-Programmen, so wie es früher dicke Handbücher zu DOS gab, in denen alle Programme aufgeführt und mit Kommandozeilenoptionen erläutert waren?

    Es muss ja kein Buch sein, online wäre ausreichend.

    Ein Beispiel zu MicroSofts Unvermögen:

    Der Befehl powercfg.exe, der auch in aktuellen Windows-Versionen enthalten ist, präsentiert sich so:

    https://technet.microsoft.com/en-us/library/hh824902.aspx

    Mit dem Hinweis "This documentation is archived and is not being maintained.", der bei der deutschen Ausgabe fehlt!
    Wird die deutsche Übersetzung aktualisiert, die englische nicht???

    https://technet.microsoft.com/de-de/library/cc748940(v=ws.10).aspx

    Und warum wird ein aktueller Befehl nicht dokumentiert???

    Was ist daran so schwer, ab und zu eine Ergänzung vorzunehmen?

    Und warum findet man die Erläuterung zu dem Befehl powercfg.exe im Windows IT Pro Center, die Erläuterung zu pushd und popd in der Technet Library?

    https://technet.microsoft.com/de-de/library/bb490978.aspx

    Warum nicht EINE einheitliche Online-Plattform mit Erläuterungen zu den Befehlen?

    Warum bekommt das so ein Riesen-Konzern nicht hin?

    • Günter Born sagt:

      Da bin ich die denkbar schlechteste Stelle, bei der diese Frage gestellt werden kann. Ich könnte zwar jetzt aus dem Nähkästchen meiner Erfahrungen aus einem Großunternehmen berichten – wo es nur Dokumentation gab, wenn ich diese verfasst habe. Ist aber 24 Jahre her und daher uralt – die Welt hat sich weiter gedreht.

      'Alle Welt' behauptet nun, man braucht keine Dokumentation (und vor allem keine Bücher) mehr, ist doch alles intuitiv. Hinzu kommt die 'wir machen jetzt in as a service'-Geschichte, wo gejubelt wird, wenn eine Schaltfläche von oben links nach unten rechts wandert und wo Dokumentation nicht mehr geleistet werden kann.

      Dokumentation wird scheinbar als Ballast gesehen und abgeschafft. Ich schätze, die Zunft ist gerade dabei, sich selbst zu richten. Spannende Frage ist halt, wie lange es dafür braucht …

      • Dieter Schmitz sagt:

        Sehr gehrter Herr Born,

        vielen Dank für die Einschätzung der Situation.

        Ein Programm wie z.B. powercfg.exe ist allerdings nicht selbsterklärend und bedarf meiner Meinung nach einer vernünftigen Erläuterung.

        So hilft der Parameter /energy bei der Suche nach problematischen Geräten/Treibern. Solche Parameter gehören meiner Meinung nach dokumentiert.

        Man könnte noch viele Beispiele anfügen.

        Früher konnte man noch RTFM sagen, heute würde man verständnislos angeschaut werden.

        Danke für Ihre Webseite, die Licht ins Dunkel bringt.

        • Günter Born sagt:

          Auch eine App bzw. deren Optionen sind nicht selbsterklärend. Ich habe oft Stunden beim Schreiben meiner diversen Windows-Bücher gesessen, recherchiert und mit meinem Fachlektor gerätselt, was diese oder jene Option (auch im Explorer) wohl bedeuten mag. Alleine, es gab nix – und das war noch in den (im Rückblick) guten Windows 8-Zeiten.

          Heute werde ich dann von MS Field Engineers schon mal bei FB belehrt, dass man dieses oder jenes halt wisse, und falls nicht, man halt nicht drüber bloggen sollte …

          So what … die werden es schon richten, die Strategen an der West Coast. Ich sehe es mittlerweile mit Humor – wenn Du dem Kind drei Mal sagst 'Vorsicht, die Kerzenflamme ist heiß' und es wirkt immer noch nicht, muss sich dieses halt die Pfoten verbrennen. Sobald es richtig weh tut, setzt meist ein gewisser Lerneffekt ein.

        • PowerPong sagt:

          powercfg.exe /? zeigt eine ziemlich lange Hilfe an…

  2. André sagt:

    Also ich habe mal kurz das tool analysiert. Es greift auf Registry Keys unter Software\\Microsoft\\rempl\\remediationresults, Software\\Microsoft\\Windows\\CurrentVersion\\rempl\\settings und Software\\Microsoft\\Remediation\\LocalState\\Telemetry

    Remediation bedeutet laut Übersetzer so etwas wie Sanierung/Korrektur. laut den Einträgen in der registry is dieser geplante Task da um Windows etwas zu reparieren und aufzuräumen. Ich denke mal damit will MS Updateprobleme auf eine neue Funktionsversion wie 1709 beseitigen.

    Unter HKLM\Software\\Microsoft\\Windows\\CurrentVersion\\rempl\\settings gibt es einen Eintrag ENABLED mit 1. Vllt hilft es ja den Wert auf 0 zu setzen um das Programm zu hindern zu starten.

  3. Thorsten sagt:

    Hallo,

    remsh wird als regelmäßiger Task eingerichtet, welcher zur Aktivierung auch den Rechner aus dem Schlaf weckt, sofern notwendig. Das zu deaktivieren genügt nicht, um dieses Verhalten endgültig zu deaktivieren (aktiviert sich von selbst wieder). Ich kann natürlich dem entgegenscripten, aber… naja. Gibts auch Pläne, das irgendwann wieder loszuwerden? Ist das Programm nun ein zeitlich begrenzter workaround oder ein permanenter Bestandteil meiner Installation?

    Hintergrund: Jeden Morgen um 10 wacht mein Rechner aus dem Suspend auf und läuft dann den ganzen Tag… ohne für mich erkenntlichen Grund. Die Update-Reboot-Tasks deaktiviere ich aus ähnlichem Grund (ohne meine Interaktion bootet nicht Windows, sondern eine Linuxinstallation).

    powershell-snippet zum Auflisten aller Tasks, die in der Lage sind, den Rechner aufzuwecken:

    PS C:\WINDOWS\system32> $tasks = Get-ScheduledTask
    >>
    >> ForEach ($task in $tasks)
    >> {
    >> if($task.settings.waketorun -eq 'True')
    >> {"$($task | Format-List | Out-String)"}
    >> }

  4. M. Fischer sagt:

    Hi, also ich habe mal testweise W10 auf einem TrekStor Tablet zum Testen angefahren – und ich muss sagen : Ich bin total entsetzt. Zuerst habe ich keine Netzverbindung eingerichtet und den Firewall installiert – 2 Tage um erstaml so gut wie allem von MS den Ausgang zuzuschlagen – jetzt kommt auch noch wärend eines getesteten Updatevorgangs diese \rempl\remsh.exe -> Diese verlangt Zugang auf settings.data.microsoft.com 40.77.226.249:443

    Also, nichts mit was auch immer um Updates auszuführen, es wird ausgehend übertragen und was auch immer abgeholt. Natürlich habe ich es erst gar nicht versucht – Zeit ist Geld und W10 eine reine Katastrophe, mit Sicherhiet werden die unschlauen User in DE bereits alle Ihre Zugänge zur MS-Cloud eingerichtet haben uind verwalten jetzt endlich alle Kontakte bei MS, selbst die StikiNotes wollen auf den MS Server , die Photoverwaltung, der Kalender …. Das Einrichten eigener Server mit eigener Datenbank ist auf keinen Fall möglich – der totale Wahnsinn und das Ende von Windows – als BS einfach nicht mehr zu benutzen.

    Für mich bleibt das letzte vernünftige BS von MS W7, danach zieh ich weit weg auf die Insel …..

  5. Volker sagt:

    Also: Ich habe das Update KB4023057 gestern zusammen mit dem kumulativen März-Update auf's Auge gedrückt bekommen, obwohl ich seit 9 Monaten Windows 10 Pro, Version 1703 laufen habe! Es wird also definitiv nicht nur an die Versionen 1507, 1511 und 1607 verteilt, sondern auch an 1703.

    Aufmerksam bin ich heute darauf geworden, weil mein Rechner seit dem Update nicht mehr in den Standby / Energiesparmodus geht.

    "powercfg -requests" zeigt an:

    [SERVICE] \Device\HarddiskVolume6\Windows\System32\svchost.exe (Schedule)
    Die geplante Aufgabe "\Microsoft\Windows\rempl\shell" wird ausgeführt. Hierzu muss der Computer reaktiviert werden.

    Was Microsoft da zum Update schreibt, ist also zum einen mal wieder ziemlicher Unsinn und zum anderen haben die Entwickler wohl auch mal wieder Mist eingebaut. Es könnte sein, dass, wenn der Microsoft-Server von rempl.exe nicht erreicht werden kann, der Prozess rempl.exe endlos aktiv bleibt und den Standby des Rechners verhindert. Sowas wie ein Timeout wäre für Microsoft ja wohl auch zu viel verlangt…

    • Joshi.K sagt:

      Erste Kommentar was mir hilft. Nun weiß ich zumindest das ich nicht der einzige mit dem problem bin. Ebenfalls Windows 10 Pro version 1703. PC geht ebenfalls nicht mehr automatisch in den Standby Modus und wacht immer freundlich jeden Tag zur selben Uhrzeit aus diesem auf.

      "powercfg -requests" zeigt an:
      [SERVICE] \Device\HarddiskVolume5\Windows\System32\svchost.exe (Schedule)
      Die geplante Aufgabe "\Microsoft\Windows\rempl\shell" wird ausgeführt. Hierzu muss der Computer reaktiviert werden.

      Hoffe es findet sich bald ein Fix dafür möchte ungern meinen PC wegen soetwas neu aufsetzen müssen (wobei ich bezweifel das es lange dauert bis sich soetwas wieder einschleicht)

      • Volker sagt:

        Ich hatte im Task Scheduler den Task rempl so eingestellt, dass er nicht mehr die Erlaubnis hat, den PC aufzuwecken und er nach einer Stunde Betrieb beendet wird. Danach ging der Rechner wieder anstandslos in den Standby. Bis heute, denn heute habe ich das kumulative April-Update installiert. Und das hat natürlich die Einstellungen aller Tasks im Scheduler wieder auf Standardwerte zurückgesetzt. Mir fielen dazu so einige Bezeichnungen für die Firma Microsoft ein. Aber die wären alle nicht jugendfrei…

    • Andreas Terveen sagt:

      Das Zeug ist auch auf einem v1803 und 1809 noch vorhanden, selbst v1903 auf meinem Notebook gurkt damit rum (gerade gechekt).
      Was immer das Zeugs so – wirklich – treibt, es hat nichts (mehr) mit anfänglichen Updateproblemen von Vorgängerversionen auf Windows 10 oder von 1507 auf 1511 oder so zu tun.
      Wen sie (= MS) wenigstens selbst wüßten (und sagen täten) was das Zeug soll, dann koönnte man damit ja noch zur Not leben, aber so…. :-((((((

  6. M.K. sagt:

    Danke für den Beitrag!

  7. dd sagt:

    Ich war schon gaaanz weit weg auf der/n Insel/n, auch da gibt es Windows – und auch die werden umstellen. Und sobald unsere Generation ausgestorben ist, sind auch endlich diese kindischen Vorbehalte gegen die Cloud weg. Die junge Generation hat da keine Berührungsängste. Schöne neue Welt….!

  8. Stefan sagt:

    Habe gerade auch diese Rempl Datei als Update bekommen. 16.11.2018
    Mein System ist : Win 10 Pro 1803 .Upgrade auf 1809 ist für 60 Tage blockiert.

    Firewall schlug auch sofort an ,wurde von mir blockiert.

  9. Rainer Koch sagt:

    Sehr geehrter Herr Born,
    ich habe es ähnlich C:\Programme\rempl\ aber ohne REMSH.exe dafür mit Ordner Logs,disktoast.exe,osrrb.exe,rempl.xml,sedlauncher.exe,sedplugins.dll,sedvc.exe,ServiceStackHardening.Inf,strgsnsaddons.dll.toastlogo.png.Ich hatte beim Start 1809 auf meinem PC Windows 10 PRO 64 Bit,was mich aber wegen Bugs ohne ende dazu gezwungen hat meine 1803 wieder zu installieren.Ich habe seid dem bis heute meine 1803 und nichts blockiert für Upgrade aber da es noch immer Bugs gibt zuletzt mit Apple Software und Microsoft es wieder zurück gezogen hat das Upgrade,nehme ich stark an das der Ordner und die Dateien den PC scannen wonach auch immer da es bei ca 8 Milliarden Menschen dementsprechend viele unterschiedliche 'Hardware gibt und Zusammenstellungen des Pc`s.Ich habe mich bei Microsoft für Windows und DOS beworben als Administrator und Ihnen geschrieben das das was Sie vorhaben die Datenträgerbereinigung zu entfernen eine gute Idee ist wenn man weiß wie man das anzuwenden hat.Ich habe damals ein FiBu Programm ohne Hilfsmittel auf einem 486er Pc ohne Internet und Software nur Windows 95 und Word in 2 Stunden programmiert,dann kann ich auch Windows 10 oder PRO in 1 – 2 Tagen komplett fixen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.