hannsgmaulwurf
Goto Top

Firewall meldet seit ein paar Wochen, dass REMSH.exe Verbindung zu MS aufbauen möchte

Hallo zusammen,

bevor ich mich zu einem betroffenen Rechner begebe und suche will ich mal schnell hier nachfragen: Seit einiger Zeit erhalte ich div. Firewallmeldungen, dass die Datei remsh.exe aus dem Pfad C:\Program Files\rempl\ eine Verbindung zu einer IP aufbauen möchte, die lt. IP Abfrage zur Microsoft Corporation, genauer zu Microsoft Azure, gehört.

Kann mir jemand sagen, was diese Datei machen möchte und woher die kommt? Es handelt sich bei allen betroffenen Rechnern um Windows 10 Pro mit Commodo Firewall 10.

Und: Wie/wo informiert ihr euch denn über euch unbekannte Dateien? Also in dem konkreten Fall an alle, die was zu dieser Datei oben sagen können: Woher habt ihr eure Infos? Mühsames suchen und Querlesen diverser Foren oder gibt es vertrauenswürdige und zuverlässige Portale für sowas? Ein einfaches Googlen nach "Datei.exe" bringt ja meist nur komische Seiten a la "hier.du-kannst-entfernen-dir.Virus.pl" face-smile
Ist oft etwas peinlich wenn die Leute anrufen und sagen "hier meldet die FW eine komische Datei - was ist das??" und ich selbst erst stundenlang googlen müsste oder nach kurzem googlenoder IP Rückverfolgung nur sagen kann "ist irgendwas von Microsoft, kannst du durchlassen" ohne mir sicher zu sein... face-confused

Besten Dank

Content-ID: 353563

Url: https://administrator.de/contentid/353563

Ausgedruckt am: 04.11.2024 um 22:11 Uhr

nepixl
nepixl 03.11.2017 aktualisiert um 10:05:10 Uhr
Goto Top
Hallo,

Google ist dein Freund.

MS Sagt...

google

Mit rollenden Augen gegrüßt..
hannsgmaulwurf
hannsgmaulwurf 03.11.2017 aktualisiert um 10:24:06 Uhr
Goto Top
Hm.... Ich frage "wer kann mir sagen was diese Datei macht und wie findet ihr raus worum es sich bei Datei xyz handelt" weil ich mit den Ergebnissen beim simplen Googlen der Datei unzufriden bin. Und du machst genau das - die Datei Googlen und die erstbesten Antworten posten...

Leider hilft mir ein Forum, in dem der eine schreibt "die Datei ist von MS zertifiziert, kannst du frei lassen" und der zweite schreibt "nein stimmt nicht"... Und auch Seiten wie "deinstallieren . how2deletevirus . com" helfen da überhaupt nicht weiter und sind mMn alles andere als vertrauenswürdig. Aber hatte ich ja so schon in meiner Frage fomuliert.....

Ich hatte auf (qualifizierte) Antworten gehofft (und hoffe weiterhin), die eben professionellere Tipps/Anlaufstellen zur Recherche etc. bieten als "Google ist dein Freund"..... face-wink
nepixl
nepixl 03.11.2017 um 10:24:19 Uhr
Goto Top
Habe mir ein paar Seiten durchgelesen die Google geliefert hat und kam zu (m)einem Ergebnis.
Aber klar, es ist einfacher wen Anderes schaffen zu lassen.

Na dann weiterhin viel Erfolg. face-smile

Gruß
Pjordorf
Pjordorf 03.11.2017 um 11:00:46 Uhr
Goto Top
Hallo,

Zitat von @hannsgmaulwurf:
Hm.... Ich frage "wer kann mir sagen was diese Datei macht
Nun denn frag doch mal den Hersteller dieser Datei was dieser sich damit gedacht hat?

Gruß,
Peter
hannsgmaulwurf
hannsgmaulwurf 03.11.2017 um 12:03:52 Uhr
Goto Top
Habe mir ein paar Seiten durchgelesen die Google geliefert hat und kam zu (m)einem Ergebnis.
Aber klar, es ist einfacher wen Anderes schaffen zu lassen.

Wie lautet denn dein Ergebnis hinsichtlich der Frage "(...)was diese Datei machen möchte und woher die kommt?" genau?


Nun denn frag doch mal den Hersteller dieser Datei was dieser sich damit gedacht hat?
-Ironie an-
Habe schon eine E-Mail an info@microsoft.com geschickt und leider bis heute keine Antwort erhalten.
-Ironie aus-

Das war doch meine Frage: Ob hier jemand Tipps hat (z.B. einschlägige, vertrauenswürdige, mir bisher nicht bekannte) bzw. wie andere sich solche Fragen beantworten.
Looser27
Looser27 03.11.2017 um 13:31:12 Uhr
Goto Top
Windows 10 Pro mit Commodo Firewall 10.

Die gibt's noch? Mal im Ernst. Mit Commodo hatte ich nur Stress. Das Verhalten der Firewall war nicht reproduzierbar.

Am Besten setzt Du hier mal an und testest, ob eine andere Firewall zum selben Ergebnis kommt.
Alchimedes
Alchimedes 03.11.2017 um 13:31:42 Uhr
Goto Top
Hallo,

ich nutze Process Explorer aus den Sysinternals von Mark Russinovich.
Unter Einstellungen kannst Du die Prozesse Verifizieren lassen sowie durch Virustotal ueberpruefen lassen.

Wenn Du mit der Maus ueber den Prozess gehst wird Dir angezeigt wo die Datei drauf zugreift. Du kannst den Prozess auch suspenden , also schlafen legen um eine Postanalyse durchzufuehren.

Falls Du Dich mit dem Tool nicht auskennst , such mal nach Malwarehunting with Sysinternals (Process Explorer) .

Gruss
runasservice
runasservice 03.11.2017 aktualisiert um 14:19:28 Uhr
Goto Top
Zitat von @hannsgmaulwurf:
-Ironie an-
Habe schon eine E-Mail an info@microsoft.com geschickt und leider bis heute keine Antwort erhalten.
-Ironie aus-


Einfach mal die Antwort abwarten. Über Google habe ich auch keine brauchbare Information gefunden, was dieser „Datensammler“ von Microsoft eigentlich macht face-sad Wenn man den diversen Foren folgt, bist Du nicht der erste der bei Microsoft Nachgefragt hat.

MfG
BassFishFox
BassFishFox 03.11.2017 um 16:20:38 Uhr
Goto Top
Hallole,

Habe schon eine E-Mail an info@microsoft.com geschickt und leider bis heute keine Antwort erhalten.

Das ist doch sowas von alt. face-wink
Der neuste Schrei ist, dass solche Fragen wie Du hast im Feedback Hub gepostet werden, weil da angeblich saemtliche Kraefte welche MS aufbietet gebuendelt sind und auch ab und zu mal mitlesen.

Ob hier jemand Tipps hat

Schmeiss doch mal einen Datenmitschneider an und sieh ob die Kommunikation der EXE zu der IP wenigsten verschluesselt ist.

Schoenes WE
BFF