msmpeng.exe 대용량 TMP* 파일을 c:\windows\temp에 쓰기

tag-icon tag-icon windows-10 windows-defender
msmpeng.exe 대용량 TMP* 파일을 c:\windows\temp에 쓰기

Windows 10(버전 1903) 워크스테이션 중 하나에서 다음과 같은 문제가 발생했습니다.

msmpeng.exe는 약 이틀에 한 번씩 무작위 간격으로 최대 15GB의 파일을 c:\windows\temp에 TMP0000002E27D3A3A88E075D32와 같은 이름으로 쓰기 시작합니다. 드라이브가 가득 차고 시스템이 정지될 때까지 계속해서 더 많은 파일을 추가합니다. 리소스 모니터에는 msmpeng.exe가 쓰는 속도와 동일한 속도로 읽는 것으로 표시됩니다.

나는 이것을 자세히 조사하려고 노력했고 관련성이 있을 수 있는 것을 발견했습니다. 동일한 임시 폴더에는 TMP 문제가 시작되기 약 4분 전에 업데이트된 MpCmdRun.log라는 작은 로그 파일이 포함되어 있습니다. 꼬리는 다음과 같습니다.

    -------------------------------------------------------------------------------------
MpCmdRun: Command Line: "C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe" SignaturesUpdateService -ScheduleJob -HttpDownload -RestrictPrivileges
 Start Time: ‎Tue ‎Aug ‎20 ‎2019 13:25:33

MpEnsureProcessMitigationPolicy: hr = 0x1
Run as Network Service
MpCmdRun: End Time: ‎Tue ‎Aug ‎20 ‎2019 13:25:33
-------------------------------------------------------------------------------------


-------------------------------------------------------------------------------------
MpCmdRun: Command Line: "C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe" SignatureUpdate -ScheduleJob -RestrictPrivileges
 Start Time: ‎Tue ‎Aug ‎20 ‎2019 14:25:35

MpEnsureProcessMitigationPolicy: hr = 0x1
Run as Network Service
MpCmdRun: End Time: ‎Tue ‎Aug ‎20 ‎2019 14:25:36
-------------------------------------------------------------------------------------


-------------------------------------------------------------------------------------
MpCmdRun: Command Line: "C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe" SignaturesUpdateService -ScheduleJob -HttpDownload -RestrictPrivileges
 Start Time: ‎Tue ‎Aug ‎20 ‎2019 14:25:37

MpEnsureProcessMitigationPolicy: hr = 0x1
Run as Network Service
MpCmdRun: End Time: ‎Tue ‎Aug ‎20 ‎2019 14:25:37
-------------------------------------------------------------------------------------

프로세스 탐색기를 사용하여 msmpeng.exe에도 다음 로그 파일에 대한 잠금이 있는 것을 확인했습니다.

  • c:\ProgramData\Microsoft\Windows Defender\Support\MPDetection-20190729-093413.log
  • c:\ProgramData\Microsoft\Windows Defender\Support\MPLog-20190705-153212.log

그러나 문제가 발생한 시점에 대한 로깅은 포함되어 있지 않은 것 같습니다.

msmpeng.exe 및 mpcmdrun.exe의 모양을 고려하면 이는 분명히 Windows Defender 관련 문제입니다. 다른 포럼에서도 유사한 증상을 찾을 수 있지만 매우 오래된 게시물에서는 Windows XP, 7에만 관련되어 있습니다.

이것을 디버깅하는 방법에 대한 단서가 있는 사람이 있습니까?

관련 정보