AntiMalware Service Executable frisst CPU
MsMpEng.exe verbraucht 30 % CPU, ohne dass du was machst. Was er tut, wie du ihn zähmst — ohne Schutz auszuschalten.
Im Task-Manager taucht AntiMalware Service Executable (MsMpEng.exe) auf und zieht permanent CPU oder Disk. Das ist Windows Defender. Komplett abschalten ist die schlechteste Antwort — es geht zähmen.
Was Defender macht
- Echtzeit-Schutz: scannt jede Datei, die geöffnet, geschrieben oder ausgeführt wird.
- Geplanter Vollscan: 1× pro Woche standardmässig — kann Stunden dauern.
- Cloud-Schutz: schickt Hashes verdächtiger Dateien an Microsoft.
- Tamper Protection: verhindert, dass du Defender abschaltest.
1. Den geplanten Vollscan auf Off-Time legen
Defender scannt nachts standardmässig. Wenn dein PC nachts aus ist, läuft der Scan beim nächsten Boot — oft tagsüber.
Aufgabenplanung (taskschd.msc) → Microsoft → Windows → Windows Defender → Windows Defender Scheduled Scan:
- Rechtsklick → Eigenschaften → Tab „Trigger” → Trigger bearbeiten → Zeit anpassen (z. B. 3 Uhr nachts mit „PC starten falls aus” deaktiviert).
- Tab „Bedingungen”: „Aufgabe nur starten, wenn der Computer im Leerlauf ist” — dann läuft er nicht, wenn du arbeitest.
2. Sinnvolle Ausnahmen
Defender scannt alles. Es gibt Ordner, in denen 90 % der Disk-Aktivität stattfindet und Malware extrem unwahrscheinlich ist:
Windows-Sicherheit → Viren- und Bedrohungsschutz → Einstellungen verwalten → Ausschlüsse hinzufügen.
Empfehlbar als Ausnahme:
| Pfad | Warum |
|---|---|
C:\Program Files (x86)\Steam\steamapps\common\ | Spielordner — viele Datei-Operationen, geringes Malware-Risiko |
D:\Games\ o. ä. zweite Spiel-SSD | Gleicher Grund |
C:\Users\<dein User>\source\repos\ (Visual Studio) | Build-Output, viele Schreibops |
C:\Users\<dein User>\.cargo\, .npm\, node_modules | Dev-Caches |
Game-Save-Ordner (%appdata%\<Spiel>\Saves) | Häufige Writes, low risk |
Nicht ausnehmen:
- Downloads-Ordner (genau wo Malware reinkommt).
- ganzer Benutzer-Ordner (
C:\Users\<dein User>\). - ganze Laufwerks-Buchstaben (
D:\). - E-Mail-Anhang-Ordner.
3. Cloud-Schutz an lassen
Cloud-Schutz schickt Hashes potenziell schädlicher Dateien an Microsoft. Reduziert lokale CPU-Last (Detection läuft cloudseitig), gibt schnellere Updates für neue Bedrohungen.
Windows-Sicherheit → Viren- und Bedrohungsschutz → Einstellungen → Cloudbasierter Schutz an, Automatische Übermittlung von Beispielen an (oder „Vor Übermittlung fragen” falls dich das stört).
4. Defender-History räumen
Wenn der Schutzverlauf riesengross ist (jahrelange Erkennungen): Defender wird langsam beim Start. Verlauf manuell löschen:
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\
Inhalt löschen (nicht den Ordner selbst). Defender-Dienst evtl. vorher kurz stoppen oder im abgesicherten Modus löschen.
5. Schnellscan vs. Vollscan
- Schnellscan (5-10 Min): scannt typische Infektions-Pfade. Reicht für Routine.
- Vollscan (Stunden): jede Datei auf der Platte. Nur bei konkretem Verdacht.
Wenn dein PC unter Vollscan dauerhaft hängt, kann ein abgebrochener Vollscan ihn in einem komischen Zustand hinterlassen — geplanten Vollscan deaktivieren, manuell Schnellscan einplanen.
6. „Endlos-Scan” — Defender kommt nicht vorwärts
Symptom: MsMpEng.exe läuft tagelang auf 30 % CPU, Schutzverlauf wächst nicht, normaler Scan-Status komisch.
-
Defender-Dienst neu starten:
services.msc→ „Microsoft Defender Antivirus Service” → Neustart. -
Signaturen frisch updaten:
"C:\ProgramData\Microsoft\Windows Defender\Platform\<version>\MpCmdRun.exe" -RemoveDefinitions -All "C:\ProgramData\Microsoft\Windows Defender\Platform\<version>\MpCmdRun.exe" -SignatureUpdate -
Bei hartnäckigem Hänger: In-Place-Upgrade von Windows (siehe Windows-Update kaputt) — repariert Defender-Komponenten mit.
7. Tamper Protection
Tamper Protection verhindert externe Tools, Registry-Tricks und Drittsoftware, Defender zu deaktivieren. Lass sie an.
Wenn du Defender wirklich für einen Test temporär aus willst: Windows-Sicherheit → Viren- und Bedrohungsschutz → Einstellungen verwalten → Echtzeit-Schutz aus (geht trotz Tamper Protection per GUI, aber wird nach 15 Min automatisch wieder eingeschaltet).
8. Drittanbieter-AV deaktiviert Defender automatisch
Wenn du Kaspersky, Bitdefender, ESET, Norton installiert hast, übernimmt deren Echtzeit-Schutz und Defender stellt seinen ab. Wenn beide CPU ziehen → einer war früher mal installiert, hat Müll hinterlassen. Drittanbieter-AV sauber deinstallieren (Hersteller-Tool, nicht nur „Programme & Funktionen”).
Schnelltest-Reihenfolge
- Geplanten Vollscan auf Off-Time legen.
- Ausnahmen für Steam-/Dev-Ordner.
- Cloud-Schutz an.
- History räumen, falls riesig.
- Bei „Endlos-Scan”: Dienst neu starten, Signaturen refresh.
Mehr Performance-Diagnose: Hoher CPU-Verbrauch im Idle.
Kommentare
Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.
- Lade Kommentare …