На одной из наших рабочих станций Windows 10 (версия 1903) возникла следующая проблема.
В случайные интервалы времени, примерно раз в два дня, msmpeng.exe начинает записывать файлы размером до 15 ГБ в c:\windows\temp с именами типа TMP0000002E27D3A3A88E075D32. Он продолжает добавлять файлы, пока диск не заполнится и система не остановится. Монитор ресурсов показывает, что msmpeng.exe читает так же быстро, как и пишет.
Я попытался разобраться в этом подробно и нашел кое-что, что, возможно, имеет отношение к делу. В той же временной папке содержался небольшой файл журнала MpCmdRun.log, который обновлялся примерно за 4 минуты до начала проблемы TMP. Вот хвост:
-------------------------------------------------------------------------------------
MpCmdRun: Command Line: "C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe" SignaturesUpdateService -ScheduleJob -HttpDownload -RestrictPrivileges
Start Time: Tue Aug 20 2019 13:25:33
MpEnsureProcessMitigationPolicy: hr = 0x1
Run as Network Service
MpCmdRun: End Time: Tue Aug 20 2019 13:25:33
-------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------
MpCmdRun: Command Line: "C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe" SignatureUpdate -ScheduleJob -RestrictPrivileges
Start Time: Tue Aug 20 2019 14:25:35
MpEnsureProcessMitigationPolicy: hr = 0x1
Run as Network Service
MpCmdRun: End Time: Tue Aug 20 2019 14:25:36
-------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------
MpCmdRun: Command Line: "C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe" SignaturesUpdateService -ScheduleJob -HttpDownload -RestrictPrivileges
Start Time: Tue Aug 20 2019 14:25:37
MpEnsureProcessMitigationPolicy: hr = 0x1
Run as Network Service
MpCmdRun: End Time: Tue Aug 20 2019 14:25:37
-------------------------------------------------------------------------------------
С помощью Process Explorer я увидел, что msmpeng.exe также блокирует эти файлы журналов:
- c:\ProgramData\Microsoft\Защитник Windows\Support\MPDetection-20190729-093413.log
- c:\ProgramData\Microsoft\Защитник Windows\Support\MPLog-20190705-153212.log
Однако, похоже, они не содержат никаких записей, относящихся к моменту возникновения проблемы.
Учитывая появление msmpeng.exe и mpcmdrun.exe, это явно проблема, связанная с Windows Defender. Я могу найти некоторые похожие симптомы на других форумах, но только относящиеся к Windows XP, 7, в очень устаревших сообщениях.
Может, кто-нибудь знает, как это исправить?