msmpeng.exe が巨大な TMP* ファイルを c:\windows\temp に書き込んでいます

2024-7-10 • tag-icon

$msmpeng.exe が巨大な TMP* ファイルを c:\windows\temp に書き込んでいます$

Windows 10 (バージョン 1903) ワークステーションの 1 つで次の問題が発生しています。

ランダムな間隔で、約 2 日に 1 回、msmpeng.exe は最大 15 GB のファイルを c:\windows\temp に書き込み始めます。ファイルの名前は TMP0000002E27D3A3A88E075D32 のようになります。ドライブがいっぱいになり、システムが停止するまで、ファイルが追加され続けます。リソースモニターには、msmpeng.exe の読み取り速度と書き込み速度が同じであることが示されています。

これを詳しく調べてみたところ、おそらく関連があると思われるものを見つけました。同じ一時フォルダーに、TMP の問題が発生する約 4 分前に更新された MpCmdRun.log という小さなログファイルが含まれていました。末尾は次のとおりです。

    -------------------------------------------------------------------------------------
MpCmdRun: Command Line: "C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe" SignaturesUpdateService -ScheduleJob -HttpDownload -RestrictPrivileges
 Start Time: ‎Tue ‎Aug ‎20 ‎2019 13:25:33

MpEnsureProcessMitigationPolicy: hr = 0x1
Run as Network Service
MpCmdRun: End Time: ‎Tue ‎Aug ‎20 ‎2019 13:25:33
-------------------------------------------------------------------------------------


-------------------------------------------------------------------------------------
MpCmdRun: Command Line: "C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe" SignatureUpdate -ScheduleJob -RestrictPrivileges
 Start Time: ‎Tue ‎Aug ‎20 ‎2019 14:25:35

MpEnsureProcessMitigationPolicy: hr = 0x1
Run as Network Service
MpCmdRun: End Time: ‎Tue ‎Aug ‎20 ‎2019 14:25:36
-------------------------------------------------------------------------------------


-------------------------------------------------------------------------------------
MpCmdRun: Command Line: "C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe" SignaturesUpdateService -ScheduleJob -HttpDownload -RestrictPrivileges
 Start Time: ‎Tue ‎Aug ‎20 ‎2019 14:25:37

MpEnsureProcessMitigationPolicy: hr = 0x1
Run as Network Service
MpCmdRun: End Time: ‎Tue ‎Aug ‎20 ‎2019 14:25:37
-------------------------------------------------------------------------------------

プロセスエクスプローラーで、msmpeng.exe が次のログファイルにもロックをかけていることがわかりました。

c:\ProgramData\Microsoft\Windows Defender\Support\MPDetection-20190729-093413.log
c:\ProgramData\Microsoft\Windows Defender\Support\MPLog-20190705-153212.log

しかし、問題が発生した時期のログは含まれていないようです。

msmpeng.exe と mpcmdrun.exe の出現から判断すると、これは明らかに Windows Defender に関連する問題です。他のフォーラムでも同様の症状が見つかりましたが、非常に古い投稿で Windows XP、7 にのみ関連しています。

これをデバッグする方法についての手がかりを持っている人はいますか?

関連情報