Firewall meldet seit ein paar Wochen, dass REMSH.exe Verbindung zu MS aufbauen möchte

Mitglied: hannsgmaulwurf

hannsgmaulwurf (Level 2) - Jetzt verbinden

03.11.2017 um 09:59 Uhr, 3472 Aufrufe, 9 Kommentare, 1 Danke

Hallo zusammen,

bevor ich mich zu einem betroffenen Rechner begebe und suche will ich mal schnell hier nachfragen: Seit einiger Zeit erhalte ich div. Firewallmeldungen, dass die Datei remsh.exe aus dem Pfad C:\Program Files\rempl\ eine Verbindung zu einer IP aufbauen möchte, die lt. IP Abfrage zur Microsoft Corporation, genauer zu Microsoft Azure, gehört.

Kann mir jemand sagen, was diese Datei machen möchte und woher die kommt? Es handelt sich bei allen betroffenen Rechnern um Windows 10 Pro mit Commodo Firewall 10.

Und: Wie/wo informiert ihr euch denn über euch unbekannte Dateien? Also in dem konkreten Fall an alle, die was zu dieser Datei oben sagen können: Woher habt ihr eure Infos? Mühsames suchen und Querlesen diverser Foren oder gibt es vertrauenswürdige und zuverlässige Portale für sowas? Ein einfaches Googlen nach "Datei.exe" bringt ja meist nur komische Seiten a la "hier.du-kannst-entfernen-dir.Virus.pl" :-) face-smile
Ist oft etwas peinlich wenn die Leute anrufen und sagen "hier meldet die FW eine komische Datei - was ist das??" und ich selbst erst stundenlang googlen müsste oder nach kurzem googlenoder IP Rückverfolgung nur sagen kann "ist irgendwas von Microsoft, kannst du durchlassen" ohne mir sicher zu sein... :-/ face-confused

Besten Dank
Mitglied: nepixl
03.11.2017, aktualisiert um 10:05 Uhr
Hallo,

Google ist dein Freund.

MS Sagt...

google

Mit rollenden Augen gegrüßt..
Bitte warten ..
Mitglied: hannsgmaulwurf
03.11.2017, aktualisiert um 10:24 Uhr
Hm.... Ich frage "wer kann mir sagen was diese Datei macht und wie findet ihr raus worum es sich bei Datei xyz handelt" weil ich mit den Ergebnissen beim simplen Googlen der Datei unzufriden bin. Und du machst genau das - die Datei Googlen und die erstbesten Antworten posten...

Leider hilft mir ein Forum, in dem der eine schreibt "die Datei ist von MS zertifiziert, kannst du frei lassen" und der zweite schreibt "nein stimmt nicht"... Und auch Seiten wie "deinstallieren . how2deletevirus . com" helfen da überhaupt nicht weiter und sind mMn alles andere als vertrauenswürdig. Aber hatte ich ja so schon in meiner Frage fomuliert.....

Ich hatte auf (qualifizierte) Antworten gehofft (und hoffe weiterhin), die eben professionellere Tipps/Anlaufstellen zur Recherche etc. bieten als "Google ist dein Freund"..... ;-) face-wink
Bitte warten ..
Mitglied: nepixl
03.11.2017 um 10:24 Uhr
Habe mir ein paar Seiten durchgelesen die Google geliefert hat und kam zu (m)einem Ergebnis.
Aber klar, es ist einfacher wen Anderes schaffen zu lassen.

Na dann weiterhin viel Erfolg. :) face-smile

Gruß
Bitte warten ..
Mitglied: Pjordorf
03.11.2017 um 11:00 Uhr
Hallo,

Zitat von hannsgmaulwurf:
Hm.... Ich frage "wer kann mir sagen was diese Datei macht
Nun denn frag doch mal den Hersteller dieser Datei was dieser sich damit gedacht hat?

Gruß,
Peter
Bitte warten ..
Mitglied: hannsgmaulwurf
03.11.2017 um 12:03 Uhr
Habe mir ein paar Seiten durchgelesen die Google geliefert hat und kam zu (m)einem Ergebnis.
Aber klar, es ist einfacher wen Anderes schaffen zu lassen.

Wie lautet denn dein Ergebnis hinsichtlich der Frage "(...)was diese Datei machen möchte und woher die kommt?" genau?


Nun denn frag doch mal den Hersteller dieser Datei was dieser sich damit gedacht hat?
-Ironie an-
Habe schon eine E-Mail an info@microsoft.com geschickt und leider bis heute keine Antwort erhalten.
-Ironie aus-

Das war doch meine Frage: Ob hier jemand Tipps hat (z.B. einschlägige, vertrauenswürdige, mir bisher nicht bekannte) bzw. wie andere sich solche Fragen beantworten.
Bitte warten ..
Mitglied: Looser27
03.11.2017 um 13:31 Uhr
Windows 10 Pro mit Commodo Firewall 10.

Die gibt's noch? Mal im Ernst. Mit Commodo hatte ich nur Stress. Das Verhalten der Firewall war nicht reproduzierbar.

Am Besten setzt Du hier mal an und testest, ob eine andere Firewall zum selben Ergebnis kommt.
Bitte warten ..
Mitglied: Alchimedes
03.11.2017 um 13:31 Uhr
Hallo,

ich nutze Process Explorer aus den Sysinternals von Mark Russinovich.
Unter Einstellungen kannst Du die Prozesse Verifizieren lassen sowie durch Virustotal ueberpruefen lassen.

Wenn Du mit der Maus ueber den Prozess gehst wird Dir angezeigt wo die Datei drauf zugreift. Du kannst den Prozess auch suspenden , also schlafen legen um eine Postanalyse durchzufuehren.

Falls Du Dich mit dem Tool nicht auskennst , such mal nach Malwarehunting with Sysinternals (Process Explorer) .

Gruss
Bitte warten ..
Mitglied: runasservice
03.11.2017, aktualisiert um 14:19 Uhr
Zitat von hannsgmaulwurf:
-Ironie an-
Habe schon eine E-Mail an info@microsoft.com geschickt und leider bis heute keine Antwort erhalten.
-Ironie aus-


Einfach mal die Antwort abwarten. Über Google habe ich auch keine brauchbare Information gefunden, was dieser „Datensammler“ von Microsoft eigentlich macht :-( face-sad Wenn man den diversen Foren folgt, bist Du nicht der erste der bei Microsoft Nachgefragt hat.

MfG
Bitte warten ..
Mitglied: BassFishFox
03.11.2017 um 16:20 Uhr
Hallole,

Habe schon eine E-Mail an info@microsoft.com geschickt und leider bis heute keine Antwort erhalten.

Das ist doch sowas von alt. ;-) face-wink
Der neuste Schrei ist, dass solche Fragen wie Du hast im Feedback Hub gepostet werden, weil da angeblich saemtliche Kraefte welche MS aufbietet gebuendelt sind und auch ab und zu mal mitlesen.

Ob hier jemand Tipps hat

Schmeiss doch mal einen Datenmitschneider an und sieh ob die Kommunikation der EXE zu der IP wenigsten verschluesselt ist.

Schoenes WE
BFF
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerke
Windows 10 - Netzwerk Speedlimit?
alwayshungryVor 16 StundenFrageNetzwerke15 Kommentare

Hallo, ich bin noch neu hier und hoffe, dass ihr mir helfen könnt. Gibt es eine Limitierung für Windows 10 bei der Netzwerkgeschwindigkeit? Leider ...

Windows Server
GPO verschieben von Benutzern
gelöst AnGi1964Vor 1 TagFrageWindows Server10 Kommentare

Hallo in die Runde! Ich habe als Neuling hier gleich 2 Fragen und hoffe, das mir geholfen werden kann. 1. Ich habe bei einem ...

Firewall
Kennt jemand Forcepoint Firewalls oder setzt diese sogar ein?
ZeroTrustVor 1 TagFrageFirewall2 Kommentare

Ich wäre interessiert an User Meinungen über diese Firewall Lösungen. Kenne ich absolut nicht und habe auch noch nie davon gehört, geschweige jemals damit ...

Outlook & Mail
Outlook 2019 stürzt bei Erhalt von Besprechungsanfrage ab
gelöst PhiltaerVor 1 TagFrageOutlook & Mail17 Kommentare

Hallo, ich habe ein ganz merkwürdiges Problem. Outlook 2019 stürzt beim Erhalt von Emails die Besprechungsanfragen enthält ab. Das Programm friert ein mit "Reagiert ...

Festplatten, SSD, Raid
WD RED PRO Festplatte als "Recertified" und "white" gelabelt
gelöst Torsten2010Vor 19 StundenFrageFestplatten, SSD, Raid5 Kommentare

Hallo, ich wollte heute die Firmen QNAP Nas mit neuen Festplatten bestücken. Beim Auspacken fiel mir sofort auf, das die Festplatten weiß gelabelt sind ...

DNS
Domain überkleben
IT-EinsteigerVor 14 StundenFrageDNS2 Kommentare

Guten Morgen, Ich habe mir einen WebSpace angemietet. Dieser läuft bspw. über die Domain storage.dienstleister.de. Jetzt ist das kein schöner Name und ich hätte ...

Groupware
Anfängerfrage zu Teams, wie kann ich mit einer externen Person chatten?
StefanKittelVor 21 StundenFrageGroupware6 Kommentare

Hallo, ich habe mal eine Anfängerfrage zur MS Teams. Ich habe einen M365 Business Basic Account mit meiner Domäne. Ich habe einen User mit ...

Windows 10
Inaccessible boot device bei Windows 10
jensgebkenVor 23 StundenFrageWindows 1013 Kommentare

Hallo Gemeinschaft, habe Probleme bei einem Windows 10 Pro PC beim Start - blue screen mit inaccessible boot device habe folgendes probiert - automatische ...