msmpeng.exe 將巨大的 TMP* 檔案寫入 c:\windows\temp

2024-7-10 • tag-icon

$msmpeng.exe 將巨大的 TMP* 檔案寫入 c:\windows\temp$

我們的一台 Windows 10（版本 1903）工作站上遇到以下問題。

msmpeng.exe 以隨機間隔（大約每兩天一次）開始將最大 15GB 的檔案寫入 c:\windows\temp，其名稱類似於 TMP0000002E27D3A3A88E075D32。它不斷添加更多文件，直到驅動器已滿並且系統停止運作。資源監視器顯示 msmpeng.exe 的讀取速度與寫入速度相同。

我試圖詳細研究這個問題，並發現了一些可能相關的內容。同一個臨時資料夾包含一個名為 MpCmdRun.log 的小日誌文件，該文件在 TMP 問題開始前約 4 分鐘更新。這是尾巴：

    -------------------------------------------------------------------------------------
MpCmdRun: Command Line: "C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe" SignaturesUpdateService -ScheduleJob -HttpDownload -RestrictPrivileges
 Start Time: ‎Tue ‎Aug ‎20 ‎2019 13:25:33

MpEnsureProcessMitigationPolicy: hr = 0x1
Run as Network Service
MpCmdRun: End Time: ‎Tue ‎Aug ‎20 ‎2019 13:25:33
-------------------------------------------------------------------------------------


-------------------------------------------------------------------------------------
MpCmdRun: Command Line: "C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe" SignatureUpdate -ScheduleJob -RestrictPrivileges
 Start Time: ‎Tue ‎Aug ‎20 ‎2019 14:25:35

MpEnsureProcessMitigationPolicy: hr = 0x1
Run as Network Service
MpCmdRun: End Time: ‎Tue ‎Aug ‎20 ‎2019 14:25:36
-------------------------------------------------------------------------------------


-------------------------------------------------------------------------------------
MpCmdRun: Command Line: "C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1907.4-0\MpCmdRun.exe" SignaturesUpdateService -ScheduleJob -HttpDownload -RestrictPrivileges
 Start Time: ‎Tue ‎Aug ‎20 ‎2019 14:25:37

MpEnsureProcessMitigationPolicy: hr = 0x1
Run as Network Service
MpCmdRun: End Time: ‎Tue ‎Aug ‎20 ‎2019 14:25:37
-------------------------------------------------------------------------------------

透過進程資源管理器，我看到 msmpeng.exe 也對這些日誌檔案進行了鎖定：

c:\ProgramData\Microsoft\Windows Defender\Support\MPDetection-20190729-093413.log
c:\ProgramData\Microsoft\Windows Defender\Support\MPLog-20190705-153212.log

然而，在問題發生時，它們似乎沒有包含任何日誌記錄。

鑑於 msmpeng.exe 和 mpcmdrun.exe 的出現，這顯然是與 Windows Defender 相關的問題。我可以在其他論壇上找到一些類似的症狀，但僅與 Windows XP、7 相關，而且帖子非常過時。

有人知道如何調試這個嗎？

相關內容