有用科技小编2025/01/13
浏览18562
阅读12分钟Antimalware Service Executable 是 Windows Defender 的后台防护进程,常见文件名是 msmpeng.exe。CPU 占用高时,先判断是否正在扫描或更新,再调整排除项、扫描时间和后台启动项。
Antimalware Service Executable 是什么进程
Antimalware Service Executable 是 Windows Defender(Windows 安全中心)的实时防护后台进程,对应可执行文件为 msmpeng.exe,由系统内置,负责实时扫描文件、检测威胁和更新病毒库。它不是病毒,而是系统安全组件的一部分,正常运行时偶尔占用较高 CPU 属于扫描工作的正常表现。
常见关联进程
- MsMpEng.exe:核心防护引擎,CPU 占用的主体。
- NisSrv.exe:网络检测服务,可能与防护进程同时出现。
- MpCmdRun.exe:命令行扫描组件,手动或计划扫描时启动。
' stroke='rgb(226,232,240)'/><text x='30' y='42' font-size='20' font-weight='700' fill='rgb(30,41,59)'>占用高,先分清是不是正常扫描</text><rect x='30' y='66' width='340' height='112' rx='11' fill='rgb(209,250,229)' stroke='rgb(16,185,129)'/><text x='50' y='96' font-size='15' font-weight='700' fill='rgb(16,185,129)'>多半正常,可先等待</text><text x='50' y='122' font-size='13' fill='rgb(51,65,85)'>· 刚开机、刚下载或解压大量文件</text><text x='50' y='144' font-size='13' fill='rgb(51,65,85)'>· 刚更新病毒库、首次打开新项目</text><text x='50' y='166' font-size='13' fill='rgb(51,65,85)'>· 短时间升高,随后自动回落</text><rect x='390' y='66' width='340' height='112' rx='11' fill='rgb(254,226,226)' stroke='rgb(239,68,68)'/><text x='410' y='96' font-size='15' font-weight='700' fill='rgb(239,68,68)'>需要处理</text><text x='410' y='122' font-size='13' fill='rgb(51,65,85)'>· 每天固定时段反复卡顿</text><text x='410' y='144' font-size='13' fill='rgb(51,65,85)'>· 长期高占用且迟迟不下降</text><text x='410' y='166' font-size='13' fill='rgb(51,65,85)'>· 大项目目录被反复扫描</text></svg>)
图:左侧是多半正常、可先等待的情况,右侧是需要进一步处理的高占用信号。
一、先判断它是不是正常扫描
Defender 在扫描大量文件、更新病毒库、首次打开新项目或处理下载文件时,CPU 占用升高是常见现象。先观察持续时间,再决定是否处理。
正常和异常的区别
- 正常扫描:刚开机、刚下载文件、刚更新病毒库,短时间占用升高。
- 反复高占用:每天固定时间卡顿,可能和计划扫描有关。
- 长期不下降:大项目目录、编译目录或缓存目录可能被反复扫描。
- 多进程一起高占用:还要看启动项、同步工具和其他后台程序。
不要为了降 CPU 就直接关闭实时防护。正确做法是找出高占用条件,再调整排除项或扫描计划。
二、确认 Defender 正在做什么
先在 Windows 安全中心查看扫描和更新状态,避免把正常安全任务误判为故障。
操作步骤
- 打开
Windows 安全中心。 - 进入
病毒和威胁防护。 - 查看是否正在快速扫描、完整扫描或更新安全情报。
- 如果扫描接近完成,先等待;如果长期不下降,再继续排查。
刚下载大量文件、解压大型压缩包或复制项目目录后,Defender 会逐个检查文件,这时 CPU 占用升高并不异常。
' stroke='rgb(226,232,240)'/><text x='30' y='44' font-size='20' font-weight='700' fill='rgb(30,41,59)'>降占用的处理顺序:从安全到进阶</text><rect x='30' y='74' width='126' height='70' rx='11' fill='rgb(255,255,255)' stroke='rgb(99,102,241)'/><circle cx='93' cy='100' r='13' fill='rgb(99,102,241)'/><text x='93' y='105' font-size='14' font-weight='700' fill='rgb(255,255,255)' text-anchor='middle'>1</text><text x='93' y='133' font-size='13' font-weight='600' fill='rgb(30,41,59)' text-anchor='middle'>看是否扫描</text><path d='M156 109 L174 109' stroke='rgb(139,92,246)' stroke-width='2.5' fill='none'/><path d='M168 104 L176 109 L168 114 Z' fill='rgb(139,92,246)'/><rect x='174' y='74' width='126' height='70' rx='11' fill='rgb(255,255,255)' stroke='rgb(99,102,241)'/><circle cx='237' cy='100' r='13' fill='rgb(99,102,241)'/><text x='237' y='105' font-size='14' font-weight='700' fill='rgb(255,255,255)' text-anchor='middle'>2</text><text x='237' y='133' font-size='13' font-weight='600' fill='rgb(30,41,59)' text-anchor='middle'>加排除项</text><path d='M300 109 L318 109' stroke='rgb(139,92,246)' stroke-width='2.5' fill='none'/><path d='M312 104 L320 109 L312 114 Z' fill='rgb(139,92,246)'/><rect x='318' y='74' width='126' height='70' rx='11' fill='rgb(255,255,255)' stroke='rgb(99,102,241)'/><circle cx='381' cy='100' r='13' fill='rgb(99,102,241)'/><text x='381' y='105' font-size='14' font-weight='700' fill='rgb(255,255,255)' text-anchor='middle'>3</text><text x='381' y='133' font-size='13' font-weight='600' fill='rgb(30,41,59)' text-anchor='middle'>调扫描时间</text><path d='M444 109 L462 109' stroke='rgb(139,92,246)' stroke-width='2.5' fill='none'/><path d='M456 104 L464 109 L456 114 Z' fill='rgb(139,92,246)'/><rect x='462' y='74' width='126' height='70' rx='11' fill='rgb(255,255,255)' stroke='rgb(99,102,241)'/><circle cx='525' cy='100' r='13' fill='rgb(99,102,241)'/><text x='525' y='105' font-size='14' font-weight='700' fill='rgb(255,255,255)' text-anchor='middle'>4</text><text x='525' y='133' font-size='13' font-weight='600' fill='rgb(30,41,59)' text-anchor='middle'>更新组件</text><path d='M588 109 L606 109' stroke='rgb(139,92,246)' stroke-width='2.5' fill='none'/><path d='M600 104 L608 109 L600 114 Z' fill='rgb(139,92,246)'/><rect x='606' y='74' width='126' height='70' rx='11' fill='rgb(255,255,255)' stroke='rgb(99,102,241)'/><circle cx='669' cy='100' r='13' fill='rgb(99,102,241)'/><text x='669' y='105' font-size='14' font-weight='700' fill='rgb(255,255,255)' text-anchor='middle'>5</text><text x='669' y='133' font-size='13' font-weight='600' fill='rgb(30,41,59)' text-anchor='middle'>整理后台</text><text x='30' y='172' font-size='12.5' fill='rgb(100,116,139)'>先排查再调整,不要一上来就关闭实时防护,安全和性能要兼顾。</text></svg>)
图:把后面几节归成五步——先看是否扫描,再加排除项、调扫描时间、更新组件,最后整理后台。
三、给可信的大项目目录添加排除项
开发目录、素材目录、虚拟机目录和大型缓存目录被反复扫描时,CPU 会长期偏高。明确可信的目录可以加入排除项。
操作步骤
- 进入
病毒和威胁防护设置。 - 找到
排除项,选择添加文件夹。 - 只添加明确可信的大项目目录、编译目录或素材目录。
- 不要把
C:\Windows、下载目录或不熟悉的软件目录加入排除项。
排除项是减少重复扫描的工具,不是绕过安全检查的通用开关。
四、调整扫描时间和后台负载
如果卡顿总在工作时间出现,可以把计划扫描放到空闲时段,同时减少不必要的启动项和后台常驻。
操作步骤
- 打开任务计划程序,查看 Microsoft Defender 相关计划任务。
- 把扫描时间安排到空闲时段。
- 在任务管理器中禁用不必要的启动应用。
- 关闭同时运行的同步盘、更新器和大型后台任务,再观察 CPU 变化。
五、更新 Defender 和系统组件
病毒库异常、系统组件损坏或长期未更新,也可能导致防护进程表现异常。保持更新通常比关闭防护更可靠。
操作步骤
- 打开 Windows 更新,确认系统补丁已安装完成。
- 在 Windows 安全中心更新安全情报。
- 重启电脑后再观察 CPU 占用。
- 若系统文件异常,再运行
sfc /scannow和DISM /Online /Cleanup-Image /RestoreHealth。
六、用「Windows优化大师」整理后台和启动项
「Windows优化大师」是面向 Windows 电脑的清理和优化工具,适合在软件残留、缓存垃圾和开机常驻项混在一起时统一排查。这里主要用到软件管理和垃圾清理:前者梳理不再使用的软件,后者清理临时文件、缓存和卸载后留下的无效残留。
图:在软件管理里集中查看已安装程序,找出不再使用、占用开机和后台资源的软件统一清理。
图:垃圾清理扫描临时文件、缓存和卸载后留下的残留,减少后台进程反复读写的目标。
七、方法对比
| 方法 | 处理内容 | 适合场景 | 注意事项 |
|---|---|---|---|
| 等待扫描完成 | 正常扫描和更新 | 短时高占用 | 不要立即关闭防护 |
| 添加排除项 | 可信大项目目录 | 反复扫描同一目录 | 不要排除系统目录 |
| 调整扫描计划 | 计划扫描时间 | 工作时段卡顿 | 保留定期扫描 |
| 整理启动项 | 后台和常驻程序 | 多个进程一起占用 | 系统组件不要乱关 |
八、Defender 占用高的常见误区
误区一,直接关闭实时防护
这样会降低安全性。先查扫描状态、排除项和计划任务。
误区二,把所有大文件夹加入排除项
排除项只给明确可信目录使用,下载目录和陌生程序目录不要乱加。
误区三,只处理 Defender 不看其他后台
CPU 高占用常常是多个进程叠加,启动项和同步工具也要一起看。
误区四,忽略病毒库更新
安全情报异常或系统长期未更新,也可能导致防护进程表现异常。
总结
Antimalware Service Executable 高占用,先判断是否正常扫描,再处理排除项、扫描计划和后台负载。安全防护不要直接关闭,系统负载混乱时可用「Windows优化大师」补充整理启动项和无用软件。
DefenderCPU占用系统安全后台进程任务计划 
提示