msmpeng.exe 将巨大的 TMP* 文件写入 c:\windows\temp

2024-6-21 • tag-icon

$msmpeng.exe 将巨大的 TMP* 文件写入 c:\windows\temp$

我们的一台 Windows 10（版本 1903）工作站遇到了以下问题。

每隔一段时间（大约每两天一次），msmpeng.exe 就会开始将最大 15GB 的文件写入 c:\windows\temp，文件名称类似于 TMP0000002E27D3A3A88E075D32。它会不断添加更多文件，直到驱动器已满，系统停止运行。资源监视器显示 msmpeng.exe 的读取速度与写入速度一样快。

我尝试详细研究这个问题，并发现了一些可能相关的内容。同一个临时文件夹包含一个名为 MpCmdRun.log 的小日志文件，该文件在 TMP 问题开始前约 4 分钟更新。以下是结尾：

    -------------------------------------------------------------------------------------
MpCmdRun: Command Line: "C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe" SignaturesUpdateService -ScheduleJob -HttpDownload -RestrictPrivileges
 Start Time: ‎Tue ‎Aug ‎20 ‎2019 13:25:33

MpEnsureProcessMitigationPolicy: hr = 0x1
Run as Network Service
MpCmdRun: End Time: ‎Tue ‎Aug ‎20 ‎2019 13:25:33
-------------------------------------------------------------------------------------


-------------------------------------------------------------------------------------
MpCmdRun: Command Line: "C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe" SignatureUpdate -ScheduleJob -RestrictPrivileges
 Start Time: ‎Tue ‎Aug ‎20 ‎2019 14:25:35

MpEnsureProcessMitigationPolicy: hr = 0x1
Run as Network Service
MpCmdRun: End Time: ‎Tue ‎Aug ‎20 ‎2019 14:25:36
-------------------------------------------------------------------------------------


-------------------------------------------------------------------------------------
MpCmdRun: Command Line: "C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe" SignaturesUpdateService -ScheduleJob -HttpDownload -RestrictPrivileges
 Start Time: ‎Tue ‎Aug ‎20 ‎2019 14:25:37

MpEnsureProcessMitigationPolicy: hr = 0x1
Run as Network Service
MpCmdRun: End Time: ‎Tue ‎Aug ‎20 ‎2019 14:25:37
-------------------------------------------------------------------------------------

通过进程资源管理器，我发现 msmpeng.exe 也锁住了这些日志文件：

c:\ProgramData\Microsoft\Windows Defender\Support\MPDetection-20190729-093413.log
c:\ProgramData\Microsoft\Windows Defender\Support\MPLog-20190705-153212.log

但它们似乎没有包含问题发生时的任何日志。

鉴于 msmpeng.exe 和 mpcmdrun.exe 的出现，这显然是与 Windows Defender 有关的问题。我在其他论坛上找到了一些类似的症状，但只与 Windows XP、7 有关，而且是在非常过时的帖子中。

有人知道如何调试这个问题吗？

相关内容