Windows Defender-gebruikers klagen over bug die tienduizenden bestanden aanmaakt

Een bug in Windows Defender zorgt ervoor dat sommige gebruikers zonder aanleiding tienduizenden bestanden in een map op hun C-schijf zien verschijnen. Sommige gebruikers klagen dat er gigabytes aan opslagruimte door wordt ingenomen.

Het probleem komt volgens verschillende gebruikers op het Microsoft-forum voor op allerlei verschillende Windows-apparaten. Ze zien de bestanden op zowel Windows 10-computers verschijnen als op Windows Servers, zowel versie 2016, 2019 als 2021 R2. De bug lijkt te komen door Windows Defender, specifiek met engine-versie 1.1.18100.5.

Door een nog onbekend probleem in die software zet Defender tienduizenden of zelfs honderdduizenden bestanden in C:\ProgramData\Microsoft\Windows Defender\Scans\History\Store. Een gebruiker zegt dat hij 400.000 bestanden ziet, een andere zelfs 950.000. Het gaat om bestanden van een of twee kilobyte groot, maar samen nemen ze gigabytes aan ruimte in op schijven. Volgens de getroffen gebruikers levert dat ook problemen op met het maken van back-ups.

Microsoft zegt op het forum dat het op de hoogte is van het probleem. Een fix volgt later op donderdag.

Reacties (65)

Tweakez 6 mei 2021 18:21

Bij ons in de organisatie ging het om zo'n 35 GIGABYTE... per server, 35 stuks, windows defender...... approx ~20 tot ~35GB allemaal 1 en 2 kbytes files -_-

We dachten eerst dat het met iets anders te maken had, maar nu blijkt het dus een bug te zijn.

Voor het snelst te verwijderen heb ik ervaren dat dat het beste met RD in de CLI gedaan kan worden op de betreffende machines. Quick fix is defender daarnaast uitzetten en een andere virusscanner te gebruiken want, defender gaat doodleuk opnieuw bezig met files aanmaken.

[Reactie gewijzigd door Tweakez op 27 juli 2024 23:56]

jimh307 @Tweakez • 7 mei 2021 10:14

Heb gisteren even gekeken en ik heb er totaal geen last van. Er staan maar 2 bestanden in die map en dat is het.

Toch ben ik wel benieuwd wat de trigger moet zijn voordat Defender over z'n nek gaat.

Voor degene die getroffen zijn: haalt een update al die bestanden weer weg?

Ge Someone @jimh307 • 7 mei 2021 12:58

Bij mij waren er 390 bestanden, dat viel nog mee.

MaltheseFalcon 6 mei 2021 17:42

Waar kun je de versie controleren?

striper @MaltheseFalcon • 7 mei 2021 09:18

Via Powershell:
Get-MpComputerStatus | Select-Object -Property AMEngineVersion

Yoshi @MaltheseFalcon • 6 mei 2021 18:27

start knop, winver typen, of in cmd / powershell winver typen.

The Realone @Yoshi • 6 mei 2021 19:08

Dan heb je de Windows versie, beetje zinloos gezien het hier gaat om een probleem met een versie van de Defender engine.
In Powershell kun je get-mpcomputerstatus invoeren, dan krijg je de de verschillende versies van de engines te zien.

Yoshi @The Realone • 6 mei 2021 19:28

ah, dat stukje had ik inderdaad gemist :-)

foxofinfinety @MaltheseFalcon • 6 mei 2021 17:44

In de Windows Beveiliging App -> instellingen -> Over.

soest009 6 mei 2021 17:53

Engine-versie 1.1.18100.5 en Windows 20H2 (19042.928) geen issues hier, maar een enkel bestand te bespeuren.

Kijkende naar de link naar docs van microsoft is het grootste gros tevens gebruiker van Sophos antivirus.
Combinatiefoutje?
Misschien wel noemenswaardig dit bij te vermelden.

[Reactie gewijzigd door soest009 op 27 juli 2024 23:56]

Tweakez @soest009 • 6 mei 2021 18:32

Het lijkt inderdaad op een combinatie. Op Windows Server lijkt Windows Defender niet altijd te disablen zoals op een Windows werkstation van toepassing is zodra je Sophos installeert.

Leken elkaar sowieso in de weg te zitten. Maar ~35GB aan kleine files (1 en 2kb) is geen grap om te verwijderen als je schijf vol is

Tip aan systeembeheerders, dit gaat stabieler en vlotter dan via Windows Explorer als je schijf vol zit $_/-\o_$

RD /S /Q path/to/directory

[Reactie gewijzigd door Tweakez op 27 juli 2024 23:56]

Zackito @Tweakez • 6 mei 2021 18:52

Dat ligt dan toch echt aan Sophos dat hij niet altijd uitgeschakeld wordt, de meeste virus scanners zorgen er gewoon voor dat Defender uitgeschakeld wordt.

Vaak door een simpele registry key.

Tweakez @Zackito • 6 mei 2021 19:28

Eens, dat kan inderdaad beter. Maargoed, hebben nu vandaag een GPO uitgerold die Windows Defender uitschakeld. Sophos heeft helaas z'n flaws ...

YoMarK @Tweakez • 6 mei 2021 21:58

Ik weet van Sophos dat deze normaal gespoken toch echt defender uitzet. Ook op Windows Server.

[Reactie gewijzigd door YoMarK op 27 juli 2024 23:56]

Tweakez @YoMarK • 6 mei 2021 22:03

Volgens @Romius die mij voorzag van meer informatie. Is dat dus niet zo op Windows Server. Hier een quote van de Microsoft website die Romius benoemt:

On Windows Server, version 1803 or newer, or Windows Server 2019, Microsoft Defender Antivirus does not enter passive mode automatically when you install a non-Microsoft antivirus product. In those cases, set Microsoft Defender Antivirus to passive mode to prevent problems caused by having multiple antivirus products installed on a server. You can set Microsoft Defender Antivirus to passive mode using PowerShell, Group Policy, or a registry key.

Daarnaast, voor wat betreft Windows Server 2016 het volgende:

On Windows Server 2016, if you are using a non-Microsoft antivirus product, you cannot run Microsoft Defender Antivirus in either passive mode or active mode. In such cases, disable/uninstall Microsoft Defender Antivirus manually to prevent problems caused by having multiple antivirus products installed on a server.

[Reactie gewijzigd door Tweakez op 27 juli 2024 23:56]

YoMarK @Tweakez • 6 mei 2021 22:18

Tnx. Dan zal het toch een GPO zijn geweest die dat regelt, of toch de de optie in de installer, want als ik me niet vergis krijg je bij de enterprise versie van sophos letterlijk de vraag tijdens de installatie op een enpoint 'disable other antivirus software' of iets dergelijks.
Zou krom zijn als deze optie defender niet disabled op b.v server 2019.

Tweakez @YoMarK • 6 mei 2021 22:32

Als ik jou was, zou ik maar eens al je servers langsgaan om echt dat te controleren. Ik weet dat sowieso twee AV's naast elkaar vragen om problemen is.

Bedank mij niet trouwens, bedank @Romius haha!

Zackito @Tweakez • 6 mei 2021 19:30

Ik zou voor Sentinel One gaan.

Romius @Tweakez • 6 mei 2021 21:50

Nou, zeg maar gerust dat op Server Defender gewoon altijd blijft draaien, zie https://docs.microsoft.co...ility?view=o365-worldwide

Op Server moet je dus altijd Defender disablen of verwijderen.

Op Windows 10 clients wordt Defender wel uitgezet bij een 3rd party AV scanner.

Tweakez @Romius • 6 mei 2021 22:01

Dank! Wat geleerd vanavond! Hebben nu een GPO uitgerold die sowieso overal defender uitschakeld ^_^.

soest009 6 mei 2021 18:15

Inmiddels is de engine voorzien van een update middels KB2267602 (versie 1.339.73.0)
Engine word hiermee geupdated naar 1.1.18100.6

Nyarlathotep @soest009 • 6 mei 2021 19:38

Die wordt natuurlijk wel vaker geupdate. Lost deze update ook het probleem op?

soest009 @Nyarlathotep • 6 mei 2021 20:11

Dit betreft de response van Microsoft op het probleem dus zou het inderdaad in theorie moeten oplossen.

ToolBee 6 mei 2021 18:22

Hier bijna 9000 in 9MB... Valt mee, maar ze zijn allemaal recent, van gisteren zelfs!
In batches van een paar honderd met dezelfde timestamp.
Ik gebruik geen andere beveiliging.

fds @ToolBee • 6 mei 2021 19:13

Bij mij ook en ook geen andere beveiliging.
Ik heb het dubbele aantal. Het gedoe is 2 mei begonnen.

LB Back @ToolBee • 7 mei 2021 01:25

Bij mij ook op 5 mei begonnen, 4500 bestanden, geen andere beveiliging.

Heb nu een uurtje de "Security Intelligence Update for Microsoft Defender Antivirus - KB2267602 (Version 1.339.94.0)"update draaien, engine is bijgewerkt naar version 18100.6, en er zijn geen bestanden meer bijgekomen sindsdien.

[Reactie gewijzigd door LB Back op 27 juli 2024 23:56]

ToolBee @LB Back • 7 mei 2021 05:16

Ah, ze hebben bij MS wel vaker een slechte cleanup na een update.

Even de volgende afwachten...

commentator 6 mei 2021 18:11

er is al een update voor Engineversie: 1.1.18100.6

ik had maar liefst 20gb aan bestanden in die map

cordonbleu 6 mei 2021 18:13

Hier op Windows 10 Pro 20H2 zit de Defender engine-versie op 1.1.18100.6. Er lijkt dus al een updated versie te zijn?

nightgold 6 mei 2021 18:24

20k bestanden hier. 146 op het tijdstip dat ik mijn PC heb geboot 10 minuten geleden.
Ik vraag me af wat dit dan triggered (ervan uitgaande dat het om scans gaat sinds het in het scans mapke zit), sinds ik scans uitgezet heb in taakplanner.

Luchtbakker 6 mei 2021 19:19

Ik heb hier op dit moment in beperkte maten ook last van. Elke minuut maakt het ongeveer 6 files aan. Ik zit nu op ongeveer 10.000 files, en hij is sinds gisteren gestart.

kaaijer 6 mei 2021 19:50

Niet specifiek hier last van gelukkig. Wel last van Windows Defender die opeens resources vreet zonder duidelijke aanleiding. Ik kwam erachter toen ik in de task manager keek omdat mijn CPU koeling als een gek begon te blazen. Vreemd...

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (65)

Sorteer op:

Weergave: