Qu'est-ce que remsh.exe et dois-je le supprimer?

Certains utilisateurs se  demandent si remsh.exe est un exécutable malveillant ou un composant Windows légitime. La plupart du temps, les utilisateurs finissent par enquêter sur le processus après avoir remarqué qu'il utilise constamment les ressources du système - en écrivant et en lisant des éléments sur la partition Windows ou en essayant d'accéder à Internet.

Mais peut-être encore plus gênant, de nombreux utilisateurs rapportent que le processus remsh.exe est responsable du réveil de certains systèmes de l'hibernation ou du sommeil.

Qu'est-ce que remsh.exe?

Le remsh.exe légitime est un fichier d'amélioration de la fiabilité introduit par la mise à jour Windows KB4023057 . Remsh.exe a été publié pour résoudre les problèmes de composants de mise à jour spécifiquement pour les versions 1057, 1511 et 1607 de Windows 10 . Pour cette raison, vous ne devriez pas le rencontrer sur toutes les machines sur lesquelles Windows 10 est installé, uniquement ces 3 versions de build.

Même si ce fichier a beaucoup de drapeaux rouges que les fichiers malveillants ont (utilisation élevée du processeur, écritures Big HDD, utilisation d'Internet), le processus est un fichier Windows 10 légitime tant qu'il est signé par Microsoft.

Risque de sécurité potentiel

Même la documentation officielle de Microsoft mentionne que le fichier remsh.exe est susceptible d'être utilisé dans un schéma de hameçonnage s'il n'est pas installé par la  mise à jour KB4023057  . Pour cette raison, il est important d'effectuer les vérifications requises afin de déterminer si le  fichier remsh.exe est légitime ou non.

Le moyen le plus rapide de déterminer si le fichier est légitime est de vérifier s'il est connecté par Microsoft. Pour ce faire, appuyez sur Ctrl + Maj + Échap pour ouvrir le Gestionnaire des tâches . Ensuite, dans l' onglet Processus , recherchez le processus remsh.exe , cliquez dessus avec le bouton droit de la souris et choisissez Propriétés .

Dans l'   écran Propriétés de remsh.exe  , accédez à l' onglet Signatures numériques et voyez si le nom du signataire correspond à Microsoft Windows. Si c'est le cas, vous pouvez considérer le fichier comme sûr.

Dans le cas où le fichier remsh.exe n'est pas signé par Microsoft, une enquête plus approfondie est nécessaire. Pour vous assurer que le fichier ne fait partie d'aucun programme de phishing, nous vous recommandons d'analyser votre fichier système avec un scanner puissant comme Safety Scanner ou Malwarebytes  pour supprimer toute menace de sécurité. Si vous utilisez Malwarebytes, vous pouvez utiliser ce guide ( ici ) pour vous assurer d'effectuer une analyse complète - mais gardez à l'esprit que cela prendra un certain temps.

Remarque: si vous recherchez un outil de vérification rapide, vous pouvez également télécharger le fichier remsh.exe dans Virus Total pour analyse. Mais gardez à l'esprit que cela n'éliminera pas la menace de sécurité - cela ne confirmera ou infirmera vos soupçons que si vous pensez que vous avez affaire à un fichier malveillant.

Comment désactiver remsh.exe?

Pour être clair, vous devez éviter de désactiver le fichier remsh.exe à moins que vous ne constatiez que l'exécutable cause des problèmes avec votre ordinateur. Si vous avez précédemment connecté que remsh.exe est légitime, le garder actif contribuera à l'installation de vos mises à jour Windows 10 de manière transparente et fiable.

Cependant, si vous constatez que remsh.exe entraîne une utilisation élevée du processeur (ou du disque dur) ou qu'il réveille constamment votre ordinateur de l'hibernation ou du sommeil, vous pouvez faire certaines choses pour arrêter ce comportement. Gardez simplement à l'esprit que ce n'est pas quelque chose que Microsoft conseille.

Vous trouverez ci-dessous deux méthodes différentes que vous pouvez utiliser pour désactiver remsh.exe à partir de votre ordinateur Windows 10.

Méthode 1: désactivation de remsh.exe à l'aide d'autoruns

Autoruns est un logiciel gratuit qui permet aux utilisateurs de supprimer les clés de démarrage, les clés d'exécution, les clés runonce et les clés de registre. C'est particulièrement utile dans ce cas car nous pouvons l'utiliser pour empêcher l' appel et le démarrage de remsh.exe à chaque démarrage du système.

Voici un guide rapide sur l'utilisation d'Autoruns pour désactiver remsh.exe:

  1. Visitez ce lien de téléchargement officiel ( ici ) et cliquez sur Télécharger Autoruns et Autorunsc pour télécharger une archive de l'utilitaire.

  2. Une fois l'archive téléchargée sur votre ordinateur, utilisez un logiciel de décompression comme WinZip, WinRar ou 7-zip pour extraire le contenu de l'archive dans un dossier accessible.
  3. Accédez au dossier contenant les fichiers Autoruns et double-cliquez sur Autoruns.exe .
  4. Attendez que la liste Tout d'Autoruns soit entièrement remplie. Une fois la liste pleine, appuyez sur Ctrl + F pour afficher la fonction de recherche.
  5. Dans la zone de recherche, tapez remsh.exe et cliquez sur Suivant .

  6. Cliquez avec le bouton droit sur l'entrée en surbrillance et cliquez sur  Supprimer pour supprimer la clé de démarrage associée à remsh.exe.
  7. Répétez les étapes 5 et 6 jusqu'à ce que vous n'ayez plus aucune mention du remsh.exe .
  8. Fermez Autoruns et redémarrez votre ordinateur.

Au prochain démarrage, ouvrez le Gestionnaire des tâches (Ctrl + Maj + Échap) et voyez si vous trouvez toujours le processus remsh.exe en cours d'exécution. S'il est toujours actif, continuez avec la méthode 2 pour le supprimer avec la mise à jour qui l'a installé en premier lieu.

Méthode 2: désinstallation de la mise à jour Windows KB4023057 

Une autre façon de supprimer remsh.exe est de désinstaller la mise à jour Windows ( KB4023057 ) qui a installé remsh.exe . Les utilisateurs dans une situation similaire ont signalé que la désinstallation de la  mise à jour KB4023057  a également supprimé le fichier remsh.exe et a par conséquent arrêté le processus de réveiller au hasard leur système de veille ou d'hibernation.

Voici un guide rapide sur la désinstallation de la  mise à jour KB4023057 de  Windows:

  1. Ouvrez une nouvelle course boîte en appuyant sur Wndows touche + R . Ensuite, tapez " ms-settings: windowsupdate " et appuyez sur Entrée pour ouvrir l' écran Windows Update .

  2. Dans l'écran Windows Update, cliquez sur Afficher l'historique des mises à jour .

  3. Dans l' écran Afficher l'historique des mises à jour , cliquez sur Désinstaller les mises à jour .
  4. Faites défiler la liste des mises à jour Windows installées pour localiser la  mise à jour KB4023057  .
  5. Cliquez avec le bouton droit sur le  KB4023057  et choisissez Désinstaller , puis suivez les invites à l'écran pour le supprimer de votre système.
  6. Redémarrez votre ordinateur. Vous devriez remarquer que le processus remsh.exe n'est plus présent dans le Gestionnaire des tâches.