Windows 10 Что для Born; s Tech и мир Windows

Windows 10: для чего нужен REMSH.exe?

[Немецкий] Недавно я наткнулся на вопрос на немецком форуме, спрашивая, для чего нужен файл REMSH.exe. Вот немного информации, которую я нашел после того, как исследовал этот вопрос..

Первый случай, я видел.

В первый раз я наткнулся на этот немецкий форум обсуждения программного файла REMSH.exe и вопроса, для чего этот файл. Пользователь написал:

Несколько недель назад межсетевой экран сообщает, что REMSH. exe хочет подключиться к MS. С некоторого времени я получаю предупреждения брандмауэра о том, что файл remsh. exe хочет использовать путь C: \ Program Files \ rempl \ для установления соединения с IP-адресом, который, согласно IP-адресу запроса сервера, принадлежит Microsoft Corporation или, точнее, Microsoft Azure. Может кто-нибудь сказать мне, что этот файл хочет делать и откуда он берется? На всех затронутых компьютерах установлена ​​ОС Windows 10 Pro с Commodo Firewall 10..

На первый взгляд, работа в Интернете не помогает. Первая запись форума MS Answers, которую я нашел, утверждала (ошибочная), что это была вредоносная программа.

Что такое remsh.exe? remsh.exe (C: \ Program Files \ rempl \ remsh.exe) в наши дни пытается получить доступ к Интернету, remsh.exe подписан Microsoft. Он также имеет высокую загрузку ЦП и иногда запись на диск. Что такое remsh.exe? Для чего это?

Также эта ветка форума Microsoft Answers, похоже, идет в том же направлении — обратите внимание на ответ сотрудника Microsoft. И здесь мы обсуждаем, что Rempl запускает ежедневную задачу..

Может REMSH.exe быть вредоносным?

Первый вопрос, который нужно проверить: является ли remsh.exe вредоносным ПО или чем-то еще от Microsoft. Проверяя несколько записей на форуме, я обнаружил, что файл находится по пути:

как указано выше. И то, что процитированный выше пользователь написал, было то, что его программа пытается подключиться к серверу Microsoft Azure. Так что вроде программа легальная. Но проверяя некоторые тестовые машины с Windows 10, я не смог обнаружить этот файл. Это вызывает «худшие опасения», что это может быть вредоносное ПО..

Лучшее, что вы можете сделать в таком случае: щелкните файл правой кнопкой мыши, выберите «Свойства» и проверьте страницу свойств цифровых подписей. Здесь я нашел пользователя, который разместил показанный выше экран. Файл имеет цифровую подпись Microsoft, поэтому он не является вредоносным..

Что вам также следует сделать: загрузить файл в Virus Total и дать ему проверить на наличие вредоносных программ..

Но что такое REMSH.exe?

Остается вопрос: почему REMSH.exe доступен только на некоторых машинах и есть ли объяснение, для чего этот файл? Поиск в Интернете имени файла привел меня к статье базы знаний Microsoft 4023057, которая дает нам некоторую подсказку. На момент написания этого сообщения в блоге KB4023057 означает Обновление до версий Windows 10 1507, 1511 и 1607 для обеспечения надежности обновления: 2 ноября 2017 г. Microsoft говорит:

Это обновление включает улучшения надежности, которые влияют на компоненты обновления в Windows 10 версий 1507, 1511 и 1607. Это обновление включает файлы и ресурсы, которые решают проблемы, влияющие на процессы обновления в Windows 10. Эти улучшения гарантируют, что качественные обновления устанавливаются без проблем для улучшения. надежность и безопасность Windows 10. Это обновление требуется только для определенных сборок Windows 10 версий 1507, 1511 и 1607. На устройствах, на которых выполняются эти сборки, обновление будет автоматически загружено и установлено через Центр обновления Windows..

И там я нашел упоминание о Remsh.exe:

Имя файла Версия файла Размер файла Дата Время Remsh.exe 10.0.14393.1273 707,064 29-сен-2017 03:28.

Версия файла, указанная в таблице выше, может отличаться. Но у нас есть твердое объяснение на наши вопросы. Прежде всего, этот файл можно найти в «некоторых сборках Windows 10 версий 1507, 1511 и 1607, [которые] требуют этого обновления». И он решает проблемы, которые влияют на процессы обновления в Windows 10. Надеюсь, это пролило свет на эту тему..

Приложение: были заменены части файла remsh.exe, см. Также мои замечания в сообщении блога Windows 10: выпущено обновление KB4023057 (6 сентября 2018 г.).

16 ответов на Windows 10: для чего нужен REMSH.exe?

Microsoft очень умно отнесла свой исполняемый файл к вредоносному ПО. Странное имя, запускается при запуске, папка непосредственно внутри Program Files, высокая загрузка ЦП и диска, файлы .ETL с неизвестными данными внутри.

.Файлы ETL в основном представляют собой файлы, сохраненные в журнале EvenT как Tracelog, которые многократно используются приложениями Microsoft. Вы можете выполнить поиск * .ETL на компьютере с Windows. Их можно открыть с помощью EventLog, ПКМ для SavedLogs, нажмите Открыть, он запросит файл EVT / EVTX / ETL, или вы можете использовать инструмент командной строки TRACERPT.EXE.

Поэтому, если я вижу EXE с цифровой подписью MS с файлами ETL внутри ProgramFiles — это БЕЗОПАСНО. Он запускался TaskScheduler, как и многие другие программы MS..

У меня есть то же самое на моих 2 ПК, оба работают в настоящее время с версией w10 1607 (НЕ версия Creators), и оба * БЕСПЛАТНО 🙂 обновление до WIN 10 1) ноутбук asus N750 * БЕСПЛАТНО 🙂 обновление с W8.1 (64b), чтобы выиграть 10 (Home) 2) пользовательский рабочий стол * БЕСПЛАТНО 🙂 обновление с Win 7 Ultimate (64bit) до Win 10 Pro (64b)

это непреднамеренное пробуждение было настолько раздражающим, что я боролся с этим почти 3 месяца, и эта штука все еще присутствует на обеих моих машинах. до сих пор не получил должного ответа от M $.

Файлы ETL в папке журнала для REMSH доступны для чтения «Microsoft Message Analyzer» и содержат такую ​​информацию..

MessageNumber DiagnosisTypes Временная метка TimeDelta EventRecord.Header.ProcessId EventRecord.Header.ThreadId Сводка по модулю 114 Нет 2018-01-16T08: 18: 55.0392656 0.0000031 7916 21660 Microsoft_Windows_Remediation Информация: Сообщение = OneSettings Ключ входа Nettings: значение ETagone = 2018.1Bers 115.1Bers -01-16T08: 18: 55.0392686 0.0000030 7916 21660 Microsoft_Windows_Remediation Информация: Message = OneSettings ключ входа: RefreshAfter значение: 榔 Ⳉ 辕 Ǔ, PackageVersion = 2018.1B 116 Нет 2018-01-16T08: 18: 55.0396012 0.0003326 7916SventateExecdateExecled_Windows_WindowsReportCloudMicrosoft_Windows_Windows_Reader_Windows = 1, CV = 7CL6mE4vmEyrQuW + .0, GlobalEventCounter = 1041, PackageVersion = 2018.1B 117 Нет 2018-01-16T08: 18: 55.0396905 0,0000893 7916 21660 Информация о Microsoft_Windows_Remediation: Сообщение = Для подключаемого модуля оболочки: (Текущее количество итераций: 3 | Максимальное количество запусков : 100)., PackageVersion = 2018.1B 118 Нет 2018-01-16T08: 18: 55.0399460 0.0002555 7916 21660 Microsoft_Windows_Remediation Remediati onShellStateEventId: applicationabilityCheck = 1, CV = 7CL6mE4vmEyrQuW + .0, GlobalEventCounter = 1042, PackageVersion = 2018.1B 119 Нет 2018-01-16T08: 18: 55.0401900 0.0002440 8984 12620 Microsoft_Windows_Remediation = CVNeDataDateText, WindowsNeMecdateText, WindowsNeMetc_Remediation, CVNeMDataText = CVNeMDateText, WindowsNecdateText, + GlobalEventCounter = 1043, isRegisteredWithDCAT = 0, isRegisteredWithMU = 1, isRegisteredWithOther = 0, isRegisteredWithWS = 1, isRegisteredWithWU = 0, NoAutoUpdate = 0, PackageVersion = 2018.1B, SetDisable_Update = 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0 … Информация: Сообщение = CheckSystemDiskFreeSpace: Функция запуска CheckSystemDiskFreeSpace, PackageVersion = 2018.1B 121 Нет 2018-01-16T08: 18: 55.0403166 0.0000684 8984 12620 Microsoft_Windows_Remediation Информация: Message = CheckSystemDiskFreeSpace: C: — системный диск 2018.1- 122 None = One, PackageVersion = 2018.1- 122 01-16T08: 18: 55.0404204 0.0001038 8984 12620 Microsoft_Windows_Remediation Информация: Сообщение = CheckSystemDiskFreeSpace : МБ свободного места: 149333 — это доступное дисковое пространство, PackageVersion = 2018.1B 123 None 2018-01-16T08: 18: 55.0409183 0.0004979 7916 21660 Microsoft_Windows_Remediation Информация: Message = Start GetRestoreHealthMarker, PackageVersion = 2018.1B 124 None 2018-01-16T08 : 18: 55.0409351 0.0000168 7916 21660 Microsoft_Windows_Remediation Информация: Сообщение = Конец GetRestoreHealthMarker, PackageVersion = 2018.1B 125 Нет 2018-01-16T08: 18: 55.0409491 0.0000140 7916 21660 Информация Microsoft_Windows_Remediation: Сообщение = Состояние пакета питания переменного тока: 1, 2018.

Остановите для него задачу или запустите SHUTUP O&O бесплатно для домашнего использования. Это удалит такой мусор.

Поскольку мы используем системы Win 10 IoT в круглосуточной производственной среде, мы отключили службу Windows Update и запланированные задачи. Мы также устанавливаем альтернативный сервер синхронизации времени. Поэтому мы также отключили службу времени Windows. Неожиданно у нас появилось несколько систем, на которых эти службы снова были настроены на ручной режим (запуск по триггеру). И снова каждый раз мы отключали их. Кажется, это случается случайно. Копаясь в реестре, я обнаружил HKLM \ SOFTWARE \ Microsoft \ rempl \ correiationresults. Здесь я нашел кое-что о Центре обновления Windows и службах времени Windows и о запланированных задачах. Таким образом, кажется, что REMSH.EXE отвечает за сброс служб до ручного запуска. Согласно Microsoft REMSH.EXE является частью обновления надежности. Что ж, в нашем случае это определенно НЕТ! Чтобы решить эту проблему, я отключил 2 запланированные задачи в Microsoft \ Windows \ rempl.

@Bert: Спасибо за ваши отзывы и идеи. Или другими словами: Win 10 IoT — это беспорядок (после взвешивания всего, что вы сделали, чтобы сохранить жизнь).

После анализа rempl мы видим, что программа генерирует логи. Через некоторое время эти журналы удаляются. Журналы имеют формат базы данных и читаются как часть базы данных..

Есть открытый текст, где собираются данные телеметрии — это данные о ПК. Как мы видим при анализе журналов и данных, данные собираются, и действия программного обеспечения запускаются автоматически..

Вы могли бы назвать это «поддержкой». Если кто-то незнакомец по секрету вошел в ваш дом / квартиру и начал работать на кухне и в комнатах, вы не вызовете эту поддержку, а воровство или преступление.

Конечно, Microsoft заявляет, что это только для улучшений. Что ожидалось? Вам нужно быть довольно наивным, чтобы поверить в это.

Я использую Linux на своем ноутбуке, а моя жена использует Win10. У меня нет файлов remsh, собранных данных и людей, которые «поддерживают» меня на моем личном ноутбуке.

Меня это только что поразило сегодня. Эта служба Rempl появилась в procxp. Никогда не видел этого раньше, а вскоре после этого я получил уведомление, что Windows 10 необходимо обновить до самой последней версии. Черт возьми! Я отключил обновление Windows, отключил и удалил настройки gpedit и отключил обновление Windows на services.msc. НО, здесь он снова включен и загружает это проклятое обновление создателя.

Программное обеспечение, которое я запускаю, дает сбой при обновлении создателя, поэтому я не могу его установить. Бизнес не может работать без программного обеспечения, и Windows 10 Anniversary edition (1607) отлично работает. Итак, я вытер жесткий диск, переустановил Windows 10 1607 и отключил обновление Windows..

Поэтому я вытер папку rempl и удалил ВСЕ экземпляры rempl из реестра Windows. Он был настроен на тихую работу в фоновом режиме при запуске системы. Он так и не установил ни одного проклятого обновления, но мгновенно попытался загрузить и установить обновление Windows 10 Creator. К счастью, я превысил ограничение на пропускную способность, и в январе соединение было медленным, как меласса. Убил процесс rempl, удалил папку $ BT и настроил выяснение, КАК обновление Windows было включено.

Простой ответ. Rempl разблокировал процесс SIH (исцеление, инициированное сервером). Это означает, что они могут снова заставить создателя Windows 10 обновить ваше горло, хотите вы этого или нет. Разве это не определение вредоносного ПО??

Итак, теперь ВСЕ файлы обновления Windows были удалены из моей системы, все экземпляры wuauserv были удалены из реестра, а инициализация записи wuauserv была удалена из svchost -netsvcs. Будет холодный день в аду, прежде чем обновление Windows снова побеспокоит меня.

Microsoft и их Winblows начинают дуть еще сильнее, чем раньше. Поскольку они принудительно устанавливают эти обновления, можно подумать, что они будут нести ответственность, если это приведет к сбою вашего компьютера и сделает его непригодным для использования. Может быть, людям стоит отправить им счет за восстановление юбилейного обновления Windows и потерянное время и бизнес из-за их халатности. Единственное, что, кажется, доходит до этих болванов, — это когда вы попадаете в их бумажник..

«Итак, теперь ВСЕ файлы обновления Windows были удалены из моей системы, все экземпляры wuauserv были удалены из реестра, а инициализация записи wuauserv была удалена из svchost -netsvcs. Это будет холодный день в аду, прежде чем обновление Windows снова побеспокоит меня ».

ради любви ко всему святому. пожалуйста, мастер, научи меня, как это делать. ive годами боролась с этим 100% диском, и единственный виновник, который я могу найти, — это обновление Windows. ive перепробовал все, от superfetch до переустановки. но даже после жесткого сброса до заводских настроек я не могу его убрать. пожалуйста, я просто тупица в поисках ответов. Помогите мне избавиться от этого безумия обновления, которое бичует землю.

Спасибо, спасибо и спасибо, Берт. Меня уже месяц мучили загадочные обновления windows! Ты прав! За последние недели я обнаружил несколько задач, связанных с обновлением. Эти задачи включали службы обновления каждый раз, когда я входил в систему. Кроме того, существует идеальное соответствие между временем выполнения трех запланированных задач REMPL (unlock, unlock-sih, usoscan) и временем загадочных событий (ID 7040) об изменении обновления. сопутствующие услуги от «инвалидов» до «по запросу».

Как видно из реестра, REMPL воскрешает эти отключенные / удаленные запланированные задачи: Microsoft \ Windows \ UpdateOrchestrator \ Schedule Scan и Microsoft \ windows \ WindowsUpdate \ Scheduled Start, sih, sihboot.

Некоторые из этих задач восстанавливают значения по умолчанию для дополнительных задач и служб, связанных с обновлением..

Так рада это прочитать. Я удалю все экземпляры wuauserv и remsh и надеюсь, что это не позволит моей машине просыпаться ночью и будет стоить мне денег за превышение ограничения пропускной способности на несколько гигов. Мне пришлось заплатить своему интернет-провайдеру вдвое больше обычного счета, потому что я был так далеко, не зная об этом!

Не обновляетесь с Anniversary Edition? Вы, вероятно, уже являетесь бот-фермой, так как вы больше не получаете исправлений безопасности, потому что ваша поддержка закончилась..

Не волнуйтесь — мои машины Linux получают обновления — и машины Win 7 тоже ;-).

Кстати: Windows 10 V1607 по-прежнему получает обновления безопасности — если вы находитесь в правом поле.

Нам нужно это удалить или нет? Если мы должны удалить, как? Щелкните правой кнопкой мыши и удалите или используйте защиту от вредоносных программ ?

Я ошибаюсь, связав этот исполняемый файл с включением программы предварительной оценки Windows??

Похожие статьи