msmpeng.exe 将巨大的 TMP* 文件写入 c:\windows\temp

msmpeng.exe 将巨大的 TMP* 文件写入 c:\windows\temp

我们的一台 Windows 10(版本 1903)工作站遇到了以下问题。

每隔一段时间(大约每两天一次),msmpeng.exe 就会开始将最大 15GB 的文件写入 c:\windows\temp,文件名称类似于 TMP0000002E27D3A3A88E075D32。它会不断添加更多文件,直到驱动器已满,系统停止运行。资源监视器显示 msmpeng.exe 的读取速度与写入速度一样快。

我尝试详细研究这个问题,并发现了一些可能相关的内容。同一个临时文件夹包含一个名为 MpCmdRun.log 的小日志文件,该文件在 TMP 问题开始前约 4 分钟更新。以下是结尾:

    -------------------------------------------------------------------------------------
MpCmdRun: Command Line: "C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe" SignaturesUpdateService -ScheduleJob -HttpDownload -RestrictPrivileges
 Start Time: ‎Tue ‎Aug ‎20 ‎2019 13:25:33

MpEnsureProcessMitigationPolicy: hr = 0x1
Run as Network Service
MpCmdRun: End Time: ‎Tue ‎Aug ‎20 ‎2019 13:25:33
-------------------------------------------------------------------------------------


-------------------------------------------------------------------------------------
MpCmdRun: Command Line: "C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe" SignatureUpdate -ScheduleJob -RestrictPrivileges
 Start Time: ‎Tue ‎Aug ‎20 ‎2019 14:25:35

MpEnsureProcessMitigationPolicy: hr = 0x1
Run as Network Service
MpCmdRun: End Time: ‎Tue ‎Aug ‎20 ‎2019 14:25:36
-------------------------------------------------------------------------------------


-------------------------------------------------------------------------------------
MpCmdRun: Command Line: "C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe" SignaturesUpdateService -ScheduleJob -HttpDownload -RestrictPrivileges
 Start Time: ‎Tue ‎Aug ‎20 ‎2019 14:25:37

MpEnsureProcessMitigationPolicy: hr = 0x1
Run as Network Service
MpCmdRun: End Time: ‎Tue ‎Aug ‎20 ‎2019 14:25:37
-------------------------------------------------------------------------------------

通过进程资源管理器,我发现 msmpeng.exe 也锁住了这些日志文件:

  • c:\ProgramData\Microsoft\Windows Defender\Support\MPDetection-20190729-093413.log
  • c:\ProgramData\Microsoft\Windows Defender\Support\MPLog-20190705-153212.log

但它们似乎没有包含问题发生时的任何日志。

鉴于 msmpeng.exe 和 mpcmdrun.exe 的出现,这显然是与 Windows Defender 有关的问题。我在其他论坛上找到了一些类似的症状,但只与 Windows XP、7 有关,而且是在非常过时的帖子中。

有人知道如何调试这个问题吗?

相关内容