msmpeng.exe escribiendo archivos TMP* enormes en c:\windows\temp

2024-7-10 • tag-icon

$msmpeng.exe escribiendo archivos TMP* enormes en c:\windows\temp$

Tenemos el siguiente problema en una de nuestras estaciones de trabajo con Windows 10 (versión 1903).

A intervalos aleatorios, aproximadamente una vez cada dos días, msmpeng.exe comienza a escribir archivos de hasta 15 GB en c:\windows\temp, con nombres como TMP0000002E27D3A3A88E075D32. Sigue agregando más archivos hasta que la unidad está llena y el sistema se detiene. El monitor de recursos muestra que msmpeng.exe lee con la misma rapidez que escribe.

Intenté investigar esto en detalle y encontré algo que posiblemente podría ser relevante. La misma carpeta temporal contenía un pequeño archivo de registro llamado MpCmdRun.log que se actualizó unos 4 minutos antes de que comenzara el problema de TMP. Aquí está la cola:

    -------------------------------------------------------------------------------------
MpCmdRun: Command Line: "C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe" SignaturesUpdateService -ScheduleJob -HttpDownload -RestrictPrivileges
 Start Time: ‎Tue ‎Aug ‎20 ‎2019 13:25:33

MpEnsureProcessMitigationPolicy: hr = 0x1
Run as Network Service
MpCmdRun: End Time: ‎Tue ‎Aug ‎20 ‎2019 13:25:33
-------------------------------------------------------------------------------------


-------------------------------------------------------------------------------------
MpCmdRun: Command Line: "C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe" SignatureUpdate -ScheduleJob -RestrictPrivileges
 Start Time: ‎Tue ‎Aug ‎20 ‎2019 14:25:35

MpEnsureProcessMitigationPolicy: hr = 0x1
Run as Network Service
MpCmdRun: End Time: ‎Tue ‎Aug ‎20 ‎2019 14:25:36
-------------------------------------------------------------------------------------


-------------------------------------------------------------------------------------
MpCmdRun: Command Line: "C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe" SignaturesUpdateService -ScheduleJob -HttpDownload -RestrictPrivileges
 Start Time: ‎Tue ‎Aug ‎20 ‎2019 14:25:37

MpEnsureProcessMitigationPolicy: hr = 0x1
Run as Network Service
MpCmdRun: End Time: ‎Tue ‎Aug ‎20 ‎2019 14:25:37
-------------------------------------------------------------------------------------

Con el explorador de procesos vi que msmpeng.exe también tenía bloqueos en estos archivos de registro:

c:\ProgramData\Microsoft\Windows Defender\Support\MPDetection-20190729-093413.log
c:\ProgramData\Microsoft\Windows Defender\Support\MPLog-20190705-153212.log

Sin embargo, no parecen contener ningún registro en el momento del problema.

Dada la apariencia de msmpeng.exe y mpcmdrun.exe, esto es claramente un problema relacionado con Windows Defender. Puedo encontrar algunos síntomas similares en otros foros, aunque sólo relacionados con Windows XP, 7, en publicaciones muy desactualizadas.

¿Alguien tendría alguna idea de cómo depurar esto?

información relacionada