Defender Signaturen verursachen extreme RAM Auslastung (April 2022)

Windows[English]Kurze Information für Administratoren von Windows-Systemen, speziell Windows Server. Mir liegt eine Information vor, dass die in letzter Zeit ausgelieferten Signaturdateien für den Microsoft Defender wohl Probleme verursachen. Bei einigen Windows Server-Systemen kann es sein, dass die RAM-Auslastung ins uferlose steigt, so dass der Betrieb beeinträchtigt werden kann. Ergänzung: Das Ganze scheint Microsoft bekannt, man arbeitet angeblich daran – siehe meine angefügten Informationen.


Anzeige

Blog-Leser Markus K. hat mich heute morgen per Mail auf diesen Sachverhalt aufmerksam gemacht und schrieb mir folgendes:

Information am Rande, aber vielleicht doch interessant.

Unser Monitoring Tool hat bemerkt, dass der RAM bei einigen Servern vollständig ausgelastet war.

Grund war der Prozess msmpeng.exe, welcher z.b. auf dem WSUS 2,6GB RAM benötigte.

Nach Update-MPSignature waren es gerade einmal ~400MB.

Wäre an dieser Stelle interessant zu wissen, ob jemand von euch etwas ähnliches aufgefallen ist? Der Microsoft Defender bzw. die Scan-Engine ist eh ein Problembär – hier bei meinen Clients stelle ich (bei MSE) fest, dass da auch die CPU immer mal wieder komplett ausgelastet wird. Wenn dann der Trusted Installer auch noch startet und Amok läuft, geht dann gar nichts mehr. Markus K., der die Maschinen in seiner Umgebung kontinuierlich überwacht schrieb mir dazu noch folgendes:

Vor einige Zeit ist der Defender bereits ungut aufgefallen, als es nicht mehr möglich war das Eventlog auf clients anzusehen. Auch da war nach dem Signaturupdate das Problem verschwunden.

Er zieht aus diversen Fällen ein nicht so dolles Fazit, was die Microsoft Virenschutzlösungen und deren Signatur-Updates betriff und schreibt dazu:

Sprich wenn man nicht zufällig eine kaputte Version abbekommt, bekommt man unter Umständen gar nichts mit. Vielleicht war der Defender auch Schuld an unzähligen schwarzen Bildschirmen, die nach dem Login auftraten und dann nach einem Reboot aber auch wieder weg waren.

Jedenfalls hat sich der Defender in unseren Problemanalysen sehr hervor getan und ist schwer auffällig geworden. Wenn das nicht wieder deutlich besser wird, müssen wir uns wohl wieder um eine Alternative umsehen.

Geht etwas in die Richtung, was ich gelegentlich auch beobachte bzw. gelegentlich zu hören bekommen. Auf Microsoft Answers gibt es diesen Forenbeitrag vom Dezember 2021, wo Nutzer für den Windows Client etwas ähnliches beklagen. Wie sind die Erfahrungen mit dem Defender bei euch?


Anzeige

Ergänzung: Im englischsprachigen Blog hat mich ein Leser auf diesen reddit.com-Beitrag hingewiesen, wo das Thema ebenfalls diskutiert wird. Angeblich soll Microsoft Bescheid wissen. Ich habe jetzt mal das Social Media Team von Microsoft Helps auf Twitter informiert und den englischsprachigen Beitrag für die Entwickler verlinkt. Ob es was hilft, weiß ich nicht. Zumindest hat es bei der Passwort-Schleife unter Windows, verursacht durch das März 2022 Preview-Update nicht geschadet und Microsoft hat was gefixt.

Ergänzung 2: Auf Twitter habe ich gerade eine Rückmeldung erhalten. Mit Datum vom 14. April 2022 schreibt jemand:

that is a current known issue and our PG team are actively working on a fix. We apogolise for any inconvenience caused.

Starten on April 13th, Microsoft Defender Antivirus customers may have experienced high memory utilization from the Antimalware Service Executable, MsMpEng.exe using signatur builds starting from 1.363.177.0.

Microsoft Defender is activly working aon a signature fix to mitigate the issue.

Das Ganze scheint Microsoft bekannt, man arbeitet angeblich daran. Mein einziger Klemmer bei der ganzen Sache: Der obige Artikel ist vom 12. April 2022, und Markus K. hat das Problem bereits einen Tag vorher festgestellt. Wenn die bei der Produktgruppe (PG) jetzt an einem Signatur-Update arbeiten und den 13. April angeben, wischen die hinter einem Problem hinterher, welches schon länger besteht. Hoffen wir, dass es bald einen Fix für die Betroffenen gibt.

Defender Signatur Update 1.363.357.0

Gerade hat mich ein Leser auf Twitter über obiges Defender-Update KB2267602 auf die Version 1.363.357.0 informiert, wobei die Installation scheitert.


Anzeige

Dieser Beitrag wurde unter Virenschutz, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

17 Antworten zu Defender Signaturen verursachen extreme RAM Auslastung (April 2022)

  1. Thomas sagt:

    Erfahrung nach 3 Monaten Microsoft Defender auf Windows 2012 Server R2: ein einarmiger Rollstuhlfahrer bergauf ist schneller, als diese (vorgeschriebene) Antivirenlösung. Sie bremst den Server so richtig ein. Selbst beim Öffnen mancher Verknüpfungen am Desktop dauert das bis zu 10 min.
    Der Task Manager verweist freundlich auf den Defender.
    Unter Windows 2016 Server ist die Performance wieder ok.

  2. Frank B sagt:

    Ich hatte gestern bei Windows 11 einen RAM Verbrauch von mehr als 12 GB für diesen Prozess bemerkt. Hatte mich gewundert, weil der Lüfter vom Netzteil lauter wurde und im Taskmanager nachgesehen.
    Nach einem Neustart ist das bisher nicht mehr aufgetreten

  3. Christoph H. sagt:

    Problem kann ich bestätigen. Trat bei Windows Server 2016, 2019 und 2022 auf. Uns ist dieses Thema auch gestern über unser Monitoring aufgefallen, wo ein SQL Server Performanceprobleme hatte. Nach einem manuellen Update des Defenders ging alles wieder normal.
    Der Prozess msmpeng.exe benötigte im Schnitt 3 GB RAM. Nach dem Update nur mehr ca 300 MB.

    LG
    Christoph

  4. EHP sagt:

    Der gleiche Fehler ist bei uns auch bei mehreren Servern aufgetreten (Server 2022). In der Regel war das ganze jedoch mit einem entsprechendem Update wieder erledigt.
    Mir ist jedoch schon aufgefallen das bei uns bei bisher zwei Servern das Problem zwei mal aufgetreten ist: einmal gestern Vormittag und einmal heute Mittag. Jedoch bleibt die Auslastung bei circa 95% stehen. Auch hier der gleiche Dienst wie im Artikel angesprochen.

  5. Carsten sagt:

    Ich war den Vormittag damit beschäftigt, den Grund für die merkwürdig hohe Arbeitsspeicherlast zu suchen. Ich kann das Verhalten bestätigen. Auf einigen Servern belegt der MsMpEng.exe Prozess mehrere Gigabyte Arbeitsspeicher. Vermutlich sind mindestens die Versionen 1.363.222.0 und 1.363.225.0 betroffen.

  6. Christian Krause sagt:

    Hatten den auf einer Debian Büchse, RAM Auslastung war ca. 1 GB.
    Auf einem zweiten System war die Auslastung deutlich geringer, so fanden wir raus, dass der zweite Rechner den Defender gar nicht aktiv hatte (could mit Retrieve licence)
    die Debian Büchse hatte 2 GB RAM, davon entfielen 400 MB auf Debian und die benötigten Anwendungen und 1 GB auf den Defender. Trend Micro benötigt nur ca. 200 MB.

    • Paul sagt:

      Wobei m.W. TM alte Signaturen wegläst, die als ausgerottet gelten.
      Das geht dann mit dem Scan schneller und meistens will man ja keine alten Viren in irgendwelchen Backup-Platten finden, die evtl. eh nicht mehr funktionieren.

      Aber sehr interessante Info, das MS jetzt auch das nicht mehr hinbekommt…

  7. Ralf S. sagt:

    Dass die Ereignisanzeige vor einiger Zeit (für mehrere Stunden, bis die nächsten Defender-Signaturen kamen) auch bei mir nicht mehr funktioniert hat, hatte ich bei diesem Beitrag bereits angemerkt:
    https://www.borncity.com/blog/2022/03/17/microsoft-defender-erkennt-office-updates-als-ransomware-aktivitten-16-3-2022/#comment-123544

    Bis auf diesen kurzen Hänger läuft der Defender bei mir bisher seit 3 Monaten auf Win 11 Pro bisher zum Glück recht problem-, geräuschlos und bremst auch das System nicht aus … Hoffe, dass das so bleibt.

  8. Klausi sagt:

    Ich habe mich schon gefragt warum mein PC plötzlich so lahm ist. Die 4GB Ram waren sicher ganz voll.

  9. Stefan sagt:

    Hier das gleiche Problem. Der Defender lässt den RAM voll laufen. Ich habe vorhin Version 1.363.289.0 installiert und auf den ersten Blick scheint der Speicherverbrauch sich jetzt bei unter 300 MB eingependelt zu haben.

  10. Archetim sagt:

    Hier haben wir auch das Problem, und zwar auf unseren Terminalservern (2016 mit Citrix). Die MsMpEng.exe nimmt sich im Laufe der Zeit weit über 3 GB RAM. Das ist auf den Maschinen mit 128 GB RAM an sich nicht so kritisch, allerdings führt das regelmäßig dazu, dass die Kisten hängenbleiben. Nach einem Neustart der Maschinen geht es wieder eine Weile gut.

    Ich habe jetzt mal das manuelle Update mit "Update-MPSignature" ausgeführt, allerdings bleibt die Speichernutzung oben. Schinbar kommt man um einen Neustart der Maschine nicht herum.

    • Archetim sagt:

      Nachtrag: Offenbar hilft das manuelle Update nicht immer. Ich habe dann mit

      MPCMDRUN.exe -RemoveDefinitions -All
      MPCMDRUN.exe -SignatureUpdate

      die signaturen komplett zurückgesetzt. Das hat dann erstmal geholfen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.