Wir haben das folgende Problem auf einer unserer Windows 10-Arbeitsstationen (Version 1903).
In unregelmäßigen Abständen, etwa alle zwei Tage, beginnt msmpeng.exe damit, Dateien von bis zu 15 GB mit Namen wie TMP0000002E27D3A3A88E075D32 in c:\windows\temp zu schreiben. Es werden immer mehr Dateien hinzugefügt, bis das Laufwerk voll ist und das System zum Stillstand kommt. Der Ressourcenmonitor zeigt, dass msmpeng.exe beim Lesen genauso schnell ist wie beim Schreiben.
Ich habe versucht, dies im Detail zu untersuchen, und habe etwas gefunden, das möglicherweise relevant sein könnte. Derselbe temporäre Ordner enthielt eine kleine Protokolldatei namens MpCmdRun.log, die etwa 4 Minuten vor dem Auftreten des TMP-Problems aktualisiert wurde. Hier ist der Rest:
-------------------------------------------------------------------------------------
MpCmdRun: Command Line: "C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe" SignaturesUpdateService -ScheduleJob -HttpDownload -RestrictPrivileges
Start Time: Tue Aug 20 2019 13:25:33
MpEnsureProcessMitigationPolicy: hr = 0x1
Run as Network Service
MpCmdRun: End Time: Tue Aug 20 2019 13:25:33
-------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------
MpCmdRun: Command Line: "C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe" SignatureUpdate -ScheduleJob -RestrictPrivileges
Start Time: Tue Aug 20 2019 14:25:35
MpEnsureProcessMitigationPolicy: hr = 0x1
Run as Network Service
MpCmdRun: End Time: Tue Aug 20 2019 14:25:36
-------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------
MpCmdRun: Command Line: "C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe" SignaturesUpdateService -ScheduleJob -HttpDownload -RestrictPrivileges
Start Time: Tue Aug 20 2019 14:25:37
MpEnsureProcessMitigationPolicy: hr = 0x1
Run as Network Service
MpCmdRun: End Time: Tue Aug 20 2019 14:25:37
-------------------------------------------------------------------------------------
Mit dem Prozess-Explorer habe ich gesehen, dass msmpeng.exe auch diese Protokolldateien gesperrt hatte:
- c:\ProgramData\Microsoft\Windows Defender\Support\MPDetection-20190729-093413.log
- c:\ProgramData\Microsoft\Windows Defender\Support\MPLog-20190705-153212.log
Sie scheinen jedoch keine Protokollierung zum Zeitpunkt des Problems zu enthalten.
Angesichts des Auftretens von msmpeng.exe und mpcmdrun.exe handelt es sich eindeutig um ein Windows Defender-bezogenes Problem. Ich kann in anderen Foren einige ähnliche Symptome finden, allerdings nur in Bezug auf Windows XP, 7, in sehr veralteten Beiträgen.
Hat jemand eine Ahnung, wie man das debuggen kann?