Это вело меня к стене в течение некоторого времени, но я думаю, что я, наконец, поймал (одного из) зачинщика (-ов) в действии.

Решения, уже опробованные без эффекта:

Иногда мой рабочий стол Windows (ранее 8, потом 8.1, сейчас работает 10) подвергался приступам почти невозможности. Расследование может привести к тому, что Защитник Windows MsMpEng.exe будет указан как причина 100% активного времени на диске в Resource Monitor. Предположительно, это привело к крайне безответственной системе, потому что система должна была конкурировать за ввод / вывод для чтения файла подкачки. Просматривая информацию об активности диска в Resource Monitor, я вижу, что MsMpEng.exe читает все файлы системы в течение 5-10 минут. В Защитнике не было ни одного сканирования, которое могло бы объяснить такое поведение. Отключение активной защиты останавливает чтение, но, на мой взгляд, это не жизнеспособное решение.

Действуя в предположении, что Защитник должен реагировать на очевидные изменения в файловой системе (поскольку функция активной защиты, по-видимому, считывает каждый файл как созданный или отредактированный), во время этих замедлений я запускал SysInternals Process Monitor, чтобы посмотреть, смогу ли я поймать что-либо вызывал Защитника, и я думаю, что мне повезло на этот раз.

Ключ!Ключ!

Это подмножество событий, захваченных монитором процесса во время выполнения, где я также увидел каталог Autodesk в разделе активности диска монитора ресурсов. Мы видим, что rundll32.exe вызывает CreateFile для существующего файла, а затем входит Defender и читает тот же файл (не меньше, чем файл подкачки, если я правильно понимаю CreateFileMapping ). Осматривая стек для вызова rundll32.exe CreateFile мы видим следующее

Трассировки стека

invagent.dll/aeinv.dll по-видимому, является основной причиной здесь, но что я мог найти об их отключении, так это удалить KB2976978, которого нет в моей системе.

Какой мой следующий шаг, чтобы попытаться это исправить?

|источник

0