Antimalware Service Executable (MsMpEng.exe) – wysokie zużycie CPU, RAM i dysku w Microsoft Defender

Pytanie

Antimalware Service Executable - pożeracz zasobów

Odpowiedź Sztucznej Inteligencji

Bezpośrednia odpowiedź na pytanie

• Antimalware Service Executable (MsMpEng.exe) to proces Microsoft Defendera odpowiedzialny za ochronę w czasie rzeczywistym. Gdy „pożera” CPU/dysk/RAM, zwykle trwa skanowanie (real‑time, pełne, po aktualizacjach) lub występuje konflikt/„gorący” katalog z tysiącami małych plików.
• Najszybsza i bezpieczna ścieżka: zaktualizować system i definicje, przeplanować skanowania, dodać sensowne wykluczenia (tylko zaufane), ograniczyć obciążenie skanów, zdiagnozować co dokładnie jest skanowane. Wyłączanie ochrony traktować jako ostatnią deskę ratunku i tylko tymczasowo.

Kluczowe punkty

• Zacznij od diagnostyki: który zasób rośnie (CPU/dysk/RAM), kiedy (po starcie, podczas budowania projektu, po aktualizacji?), który proces/plik jest skanowany.
• Użyj: Harmonogram Zadań (przeplanowanie), preferencje Defendera (ograniczenie obciążenia skanów), mądre wykluczenia (np. node_modules, katalogi build/VM).
• Sprzęt ma znaczenie: SSD i 16 GB RAM wyraźnie redukują uciążliwość skanów.

Szczegółowa analiza problemu

• Mechanizm obciążenia:
  • Skanowanie w czasie rzeczywistym (on‑access) analizuje każdy odczyt/zapis pliku. Najbardziej dokuczliwe przy wielu małych plikach, archiwach, repozytoriach VCS, katalogach pakietów (npm/pip/cache) i obrazach VM.
  • Zaplanowane skany i rekalkulacja po aktualizacjach silnika/definicji – po instalacji poprawek Defender potrafi „przejść” popularne lokalizacje jeszcze raz.
  • Konflikty i pętle: dodatkowe AV/EDR, sterowniki filtrujące system plików, resztki po starym AV, agresywne narzędzia indeksujące.
• Rozróżnienie objawów:
  • Wysokie CPU: intensywna analiza treści (archiwa, skrypty, pliki binarne), często wraz z wysokim I/O.
  • Wysoki dysk (100%): typowe na HDD – ograniczenia IOPS; na SSD zwykle krótkie piki.
  • Wysokie RAM: sporadycznie po aktualizacji platformy – zwykle przejściowe; sprawdź stan „Health/Release notes” Windows i ewentualne wycofanie poprawki.

Playbook A – szybka diagnostyka (10–15 min)

• Menedżer zadań: potwierdź, że to MsMpEng.exe i który zasób jest wąskim gardłem.
• Monitor zasobów (resmon) lub Process Explorer:
  • Jeśli CPU: Sprawdź wątki MsMpEng i współistniejące intensywne procesy (kompilacja, przeglądarka, klient gry).
  • Jeśli dysk/CPU: Uruchom Process Monitor z filtrem Process Name = MsMpEng.exe i podejrzyj ścieżki plików – wskażą „gorące” katalogi do wykluczeń.
• Windows Security → Ochrona przed wirusami → Historia ochrony: czy trwa skan/aktualizacja?

Playbook B – bezpieczna optymalizacja (zalecane)

• Zaktualizuj definicje i platformę:
  • Windows Security → Aktualizacje ochrony; dodatkowo wymuś odświeżenie:
    “%ProgramFiles%\Windows Defender\MpCmdRun.exe” -RemoveDefinitions -All
    “%ProgramFiles%\Windows Defender\MpCmdRun.exe” -SignatureUpdate
• Przeplanuj skany, aby nie kolidowały z Twoją pracą:
  • taskschd.msc → Microsoft → Windows → Windows Defender:
    • Windows Defender Scheduled Scan (i zadania Cache Maintenance, Cleanup, Verification) – ustaw okna nocne/bezczynność/z zasilaniem sieciowym.
  • PowerShell (Admin):
    • Set-MpPreference -ScanScheduleQuickScanTime HHMM
    • Set-MpPreference -ScanScheduleDay X (0=codziennie, 1..7=pn..nd)
• Ogranicz obciążenie skanów, nie obniżając drastycznie bezpieczeństwa:
  • PowerShell (Admin):
    • Set-MpPreference -ScanAvgCPULoadFactor 20 (zakres 0–100; typowo 10–30)
    • Opcjonalnie: Set-MpPreference -DisableArchiveScanning $true (szybciej, ale ryzyko – archiwa nie są rozwijane)
• Wykluczenia – tylko zaufane i precyzyjne (nie globalne):
  • Add-MpPreference -ExclusionPath "C:\projekty\repo.git", "C:\projekty\node_modules", "D:\VMs", "C:\build\cache"
  • Add-MpPreference -ExclusionExtension ".iso", ".vhdx" (jeśli masz liczne obrazy)
  • Add-MpPreference -ExclusionProcess "clang.exe","msbuild.exe","python.exe" (opcjonalnie)
    Uwaga: NIE dodawaj do wykluczeń samego MsMpEng.exe ani folderu programu Defender – to osłabia ochronę i nie jest potrzebne.
• Eliminacja konfliktów:
  • Upewnij się, że nie masz dwóch AV. Jeśli używasz innego, Defender wejdzie w tryb pasywny; usuń „resztki” po dawnych AV (narzędzia producentów do czyszczenia sterowników filtrujących).

Playbook C – kiedy potrzebna jest „natychmiastowa ulga”

• Tymczasowo wyłącz ochronę w czasie rzeczywistym (Windows Security) na czas krytycznego zadania i włącz ponownie po jego zakończeniu.
• Lub uruchom tryb „Czysty rozruch” (wyłącz nie-Microsoftowe usługi/startup), aby wykryć, czy dodatkowe oprogramowanie prowokuje Defendera do intensywnego skanowania.
• Nie zalecam stałego wyłączania usługi Defendera ani trwałych zmian w rejestrze – groźne i często blokowane przez „Ochronę przed manipulacją” (Tamper Protection).

Sprzęt i architektura

• SSD/NVMe radykalnie skraca czas skanów i eliminuje 100% użycia dysku typowe dla HDD.
• 16 GB RAM (lub więcej przy ciężkich IDE/VM) ogranicza stronicowanie, które również jest skanowane.
• Wielordzeniowy CPU pozwala MsMpEng działać równolegle z Twoją pracą; wąskimi gardłami bywają małe rdzenie/niski zegar pod obciążeniem.

Weryfikacja skuteczności

• Po zmianach wykonaj szybki skan, obserwując CPU/dysk; sprawdź, czy „gorące” katalogi przestały być skanowane ciągle (ProcMon).
• PowerShell: Get-MpPreference, Get-MpComputerStatus – potwierdź, że ustawienia się zastosowały i definicje są aktualne.
• Logi: C:\ProgramData\Microsoft\Windows Defender\Support\ (MPLog…).

Aktualne informacje i trendy

• Microsoft konsekwentnie rozwija silnik Defendera (platforma + sygnatury). Po niektórych aktualizacjach widoczne są krótkotrwałe piki CPU/RAM związane z rekalkulacją i optymalizacją baz.
• Dla administratorów dostępne są narzędzia diagnostyczne i analityczne do śledzenia wydajności Defendera oraz oficjalne wytyczne dot. zalecanych wykluczeń dla określonych ról (np. IDE, serwery baz danych, Hyper‑V).
• Funkcje jak „Ochrona w chmurze” i „Przesyłanie próbek” poprawiają detekcję, lecz mogą chwilowo zwiększyć aktywność I/O.

Wspierające wyjaśnienia i detale

• ScanAvgCPULoadFactor nie „zamyka” CPU do danej wartości, ale steruje agresywnością skanera – zbyt niska wartość wydłuży skany.
• Wykluczenia per-proces (kompilatory, interpretery) są bezpieczniejsze niż globalne wykluczenia całych dysków.
• Piki wynikające z rozpakowywania archiwów i skryptów (npm/pip) są normalne; celem jest ich przesunięcie w czasie lub ograniczenie zakresu.

Aspekty etyczne i prawne

• Trwałe osłabianie ochrony (wyłączenie real‑time, szerokie wykluczenia) może naruszać polityki bezpieczeństwa w firmie i wymagania branżowe (np. PCI-DSS, HIPAA).
• Próbkowanie w chmurze może obejmować wysyłkę podejrzanych plików do Microsoft; w środowiskach wrażliwych rozważ polityki ograniczające zakres, akceptując spadek ochrony.

Praktyczne wskazówki

• Zacznij od ProcMon i ustalenia „co” jest skanowane – to pozwala dodać chirurgiczne wykluczenia.
• Ustal stałe okna skanów (np. noc) i włącz warunek „tylko na zasilaniu AC” w laptopach.
• W projektach programistycznych: wyklucz foldery cache/build/node_modules/.git, obrazy VM i duże artefakty – ale nie katalogi użytkownika w całości.
• Zadbaj o SSD i pamięć – to często najlepszy „fix” koszt/efekt.

Ewentualne zastrzeżenia lub uwagi dodatkowe

• Nie wykluczaj katalogu programu Defender ani jego procesów – to obniża poziom ochrony i zwykle nie jest potrzebne.
• Ustawienia mogą być nadpisywane przez „Ochronę przed manipulacją” – jeśli modyfikacje nie działają, sprawdź ten przełącznik w Windows Security.
• Utrzymujące się, nietypowe użycie RAM/CPU tuż po konkretnej aktualizacji Windows/Defendera może wskazywać na regres – sprawdź „Windows Release Health” i ewentualne obejścia.

Sugestie dalszych badań

• Dokumentacja „Tune performance for Microsoft Defender Antivirus” i „Performance analyzer for Microsoft Defender Antivirus” (narzędzia i rekomendacje wykluczeń).
• Windows Performance Recorder/Analyzer oraz Sysinternals Process Monitor do głębokiej analizy I/O.
• Wytyczne Microsoft dot. zalecanych wykluczeń dla konkretnych ról/produktów (SQL Server, Hyper‑V, IDE).

Krótkie podsumowanie

• MsMpEng.exe bywa „pożeraczem” zasobów, ale w większości przypadków pomaga: aktualizacja, przeplanowanie skanów, celowane wykluczenia i ograniczenie agresywności skanów, plus SSD/więcej RAM.
• Unikaj trwałego wyłączania ochrony; stawiaj na diagnostykę i precyzyjną konfigurację.
• Jeśli chcesz, mogę przejść z Tobą przez ProcMon i wskazać dokładnie, które katalogi warto wykluczyć – podaj wersję Windows, typ dysku (HDD/SSD), RAM oraz kiedy zużycie rośnie (scenariusz).