msmpeng.exe gravando arquivos TMP* enormes em c:\windows\temp

2024-7-10 • tag-icon

$msmpeng.exe gravando arquivos TMP* enormes em c:\windows\temp$

Estamos tendo o seguinte problema em uma de nossas estações de trabalho Windows 10 (versão 1903).

Em intervalos aleatórios, cerca de uma vez a cada dois dias, msmpeng.exe começa a gravar arquivos de até 15 GB em c:\windows\temp, com nomes como TMP0000002E27D3A3A88E075D32. Ele continua adicionando mais arquivos até que a unidade esteja cheia e o sistema pare. O monitor de recursos mostra a leitura do msmpeng.exe com a mesma rapidez com que está sendo gravado.

Tentei analisar isso em detalhes e encontrei algo que pode ser relevante. A mesma pasta temporária continha um pequeno arquivo de log chamado MpCmdRun.log que foi atualizado cerca de 4 minutos antes do início do problema do TMP. Aqui está a cauda:

    -------------------------------------------------------------------------------------
MpCmdRun: Command Line: "C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe" SignaturesUpdateService -ScheduleJob -HttpDownload -RestrictPrivileges
 Start Time: ‎Tue ‎Aug ‎20 ‎2019 13:25:33

MpEnsureProcessMitigationPolicy: hr = 0x1
Run as Network Service
MpCmdRun: End Time: ‎Tue ‎Aug ‎20 ‎2019 13:25:33
-------------------------------------------------------------------------------------


-------------------------------------------------------------------------------------
MpCmdRun: Command Line: "C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe" SignatureUpdate -ScheduleJob -RestrictPrivileges
 Start Time: ‎Tue ‎Aug ‎20 ‎2019 14:25:35

MpEnsureProcessMitigationPolicy: hr = 0x1
Run as Network Service
MpCmdRun: End Time: ‎Tue ‎Aug ‎20 ‎2019 14:25:36
-------------------------------------------------------------------------------------


-------------------------------------------------------------------------------------
MpCmdRun: Command Line: "C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe" SignaturesUpdateService -ScheduleJob -HttpDownload -RestrictPrivileges
 Start Time: ‎Tue ‎Aug ‎20 ‎2019 14:25:37

MpEnsureProcessMitigationPolicy: hr = 0x1
Run as Network Service
MpCmdRun: End Time: ‎Tue ‎Aug ‎20 ‎2019 14:25:37
-------------------------------------------------------------------------------------

Com o Process Explorer, vi que msmpeng.exe também tinha bloqueios nestes arquivos de log:

c:\ProgramData\Microsoft\Windows Defender\Support\MPDetection-20190729-093413.log
c:\ProgramData\Microsoft\Windows Defender\Support\MPLog-20190705-153212.log

No entanto, eles não parecem conter nenhum registro no momento do problema.

Dada a aparência de msmpeng.exe e mpcmdrun.exe, este é claramente um problema relacionado ao Windows Defender. Posso encontrar alguns sintomas semelhantes em outros fóruns, mas relacionados apenas ao Windows XP, 7, em postagens muito desatualizadas.

Alguém teria alguma idéia de como depurar isso?

informação relacionada