Windows Defender-gebruikers klagen over bug die tienduizenden bestanden aanmaakt

Een bug in Windows Defender zorgt ervoor dat sommige gebruikers zonder aanleiding tienduizenden bestanden in een map op hun C-schijf zien verschijnen. Sommige gebruikers klagen dat er gigabytes aan opslagruimte door wordt ingenomen.

Het probleem komt volgens verschillende gebruikers op het Microsoft-forum voor op allerlei verschillende Windows-apparaten. Ze zien de bestanden op zowel Windows 10-computers verschijnen als op Windows Servers, zowel versie 2016, 2019 als 2021 R2. De bug lijkt te komen door Windows Defender, specifiek met engine-versie 1.1.18100.5.

Door een nog onbekend probleem in die software zet Defender tienduizenden of zelfs honderdduizenden bestanden in C:\ProgramData\Microsoft\Windows Defender\Scans\History\Store. Een gebruiker zegt dat hij 400.000 bestanden ziet, een andere zelfs 950.000. Het gaat om bestanden van een of twee kilobyte groot, maar samen nemen ze gigabytes aan ruimte in op schijven. Volgens de getroffen gebruikers levert dat ook problemen op met het maken van back-ups.

Microsoft zegt op het forum dat het op de hoogte is van het probleem. Een fix volgt later op donderdag.

Door Tijs Hofmans

Nieuwscoördinator

06-05-2021 • 17:37

65

Submitter: TheVivaldi

Reacties (65)

65
62
35
3
0
10
Wijzig sortering
Bij ons in de organisatie ging het om zo'n 35 GIGABYTE... per server, 35 stuks, windows defender...... approx ~20 tot ~35GB allemaal 1 en 2 kbytes files -_- :+ We dachten eerst dat het met iets anders te maken had, maar nu blijkt het dus een bug te zijn.

Voor het snelst te verwijderen heb ik ervaren dat dat het beste met RD in de CLI gedaan kan worden op de betreffende machines. Quick fix is defender daarnaast uitzetten en een andere virusscanner te gebruiken want, defender gaat doodleuk opnieuw bezig met files aanmaken.

[Reactie gewijzigd door Tweakez op 27 juli 2024 23:56]

Heb gisteren even gekeken en ik heb er totaal geen last van. Er staan maar 2 bestanden in die map en dat is het.

Toch ben ik wel benieuwd wat de trigger moet zijn voordat Defender over z'n nek gaat.

Voor degene die getroffen zijn: haalt een update al die bestanden weer weg?
Bij mij waren er 390 bestanden, dat viel nog mee.
Waar kun je de versie controleren?
Via Powershell:
Get-MpComputerStatus | Select-Object -Property AMEngineVersion
start knop, winver typen, of in cmd / powershell winver typen.
Dan heb je de Windows versie, beetje zinloos gezien het hier gaat om een probleem met een versie van de Defender engine.
In Powershell kun je get-mpcomputerstatus invoeren, dan krijg je de de verschillende versies van de engines te zien.
ah, dat stukje had ik inderdaad gemist :-)
In de Windows Beveiliging App -> instellingen -> Over.
Engine-versie 1.1.18100.5 en Windows 20H2 (19042.928) geen issues hier, maar een enkel bestand te bespeuren.

Kijkende naar de link naar docs van microsoft is het grootste gros tevens gebruiker van Sophos antivirus.
Combinatiefoutje?
Misschien wel noemenswaardig dit bij te vermelden.

[Reactie gewijzigd door soest009 op 27 juli 2024 23:56]

Het lijkt inderdaad op een combinatie. Op Windows Server lijkt Windows Defender niet altijd te disablen zoals op een Windows werkstation van toepassing is zodra je Sophos installeert.

Leken elkaar sowieso in de weg te zitten. Maar ~35GB aan kleine files (1 en 2kb) is geen grap om te verwijderen als je schijf vol is :+

Tip aan systeembeheerders, dit gaat stabieler en vlotter dan via Windows Explorer als je schijf vol zit _/-\o_
RD /S /Q path/to/directory

[Reactie gewijzigd door Tweakez op 27 juli 2024 23:56]

Dat ligt dan toch echt aan Sophos dat hij niet altijd uitgeschakeld wordt, de meeste virus scanners zorgen er gewoon voor dat Defender uitgeschakeld wordt.

Vaak door een simpele registry key.
Eens, dat kan inderdaad beter. Maargoed, hebben nu vandaag een GPO uitgerold die Windows Defender uitschakeld. Sophos heeft helaas z'n flaws ... :-(
Ik weet van Sophos dat deze normaal gespoken toch echt defender uitzet. Ook op Windows Server.

[Reactie gewijzigd door YoMarK op 27 juli 2024 23:56]

Volgens @Romius die mij voorzag van meer informatie. Is dat dus niet zo op Windows Server. Hier een quote van de Microsoft website die Romius benoemt:
On Windows Server, version 1803 or newer, or Windows Server 2019, Microsoft Defender Antivirus does not enter passive mode automatically when you install a non-Microsoft antivirus product. In those cases, set Microsoft Defender Antivirus to passive mode to prevent problems caused by having multiple antivirus products installed on a server. You can set Microsoft Defender Antivirus to passive mode using PowerShell, Group Policy, or a registry key.
Daarnaast, voor wat betreft Windows Server 2016 het volgende:
On Windows Server 2016, if you are using a non-Microsoft antivirus product, you cannot run Microsoft Defender Antivirus in either passive mode or active mode. In such cases, disable/uninstall Microsoft Defender Antivirus manually to prevent problems caused by having multiple antivirus products installed on a server.

[Reactie gewijzigd door Tweakez op 27 juli 2024 23:56]

Tnx. Dan zal het toch een GPO zijn geweest die dat regelt, of toch de de optie in de installer, want als ik me niet vergis krijg je bij de enterprise versie van sophos letterlijk de vraag tijdens de installatie op een enpoint 'disable other antivirus software' of iets dergelijks.
Zou krom zijn als deze optie defender niet disabled op b.v server 2019.
Als ik jou was, zou ik maar eens al je servers langsgaan om echt dat te controleren. Ik weet dat sowieso twee AV's naast elkaar vragen om problemen is.

Bedank mij niet trouwens, bedank @Romius haha!
Ik zou voor Sentinel One gaan.
Nou, zeg maar gerust dat op Server Defender gewoon altijd blijft draaien, zie https://docs.microsoft.co...ility?view=o365-worldwide

Op Server moet je dus altijd Defender disablen of verwijderen.

Op Windows 10 clients wordt Defender wel uitgezet bij een 3rd party AV scanner.
Dank! Wat geleerd vanavond! Hebben nu een GPO uitgerold die sowieso overal defender uitschakeld ^_^.
Inmiddels is de engine voorzien van een update middels KB2267602 (versie 1.339.73.0)
Engine word hiermee geupdated naar 1.1.18100.6
Die wordt natuurlijk wel vaker geupdate. Lost deze update ook het probleem op?
Dit betreft de response van Microsoft op het probleem dus zou het inderdaad in theorie moeten oplossen.
Hier bijna 9000 in 9MB... Valt mee, maar ze zijn allemaal recent, van gisteren zelfs!
In batches van een paar honderd met dezelfde timestamp.
Ik gebruik geen andere beveiliging.
Bij mij ook en ook geen andere beveiliging.
Ik heb het dubbele aantal. Het gedoe is 2 mei begonnen.
Bij mij ook op 5 mei begonnen, 4500 bestanden, geen andere beveiliging.

Heb nu een uurtje de "Security Intelligence Update for Microsoft Defender Antivirus - KB2267602 (Version 1.339.94.0)"update draaien, engine is bijgewerkt naar version 18100.6, en er zijn geen bestanden meer bijgekomen sindsdien.

[Reactie gewijzigd door LB Back op 27 juli 2024 23:56]

Ah, ze hebben bij MS wel vaker een slechte cleanup na een update. ;)
Even de volgende afwachten...
er is al een update voor Engineversie: 1.1.18100.6

ik had maar liefst 20gb aan bestanden in die map
Hier op Windows 10 Pro 20H2 zit de Defender engine-versie op 1.1.18100.6. Er lijkt dus al een updated versie te zijn?
20k bestanden hier. 146 op het tijdstip dat ik mijn PC heb geboot 10 minuten geleden.
Ik vraag me af wat dit dan triggered (ervan uitgaande dat het om scans gaat sinds het in het scans mapke zit), sinds ik scans uitgezet heb in taakplanner.
Ik heb hier op dit moment in beperkte maten ook last van. Elke minuut maakt het ongeveer 6 files aan. Ik zit nu op ongeveer 10.000 files, en hij is sinds gisteren gestart.
Niet specifiek hier last van gelukkig. Wel last van Windows Defender die opeens resources vreet zonder duidelijke aanleiding. Ik kwam erachter toen ik in de task manager keek omdat mijn CPU koeling als een gek begon te blazen. Vreemd...

Op dit item kan niet meer gereageerd worden.