Interação entre o Windows Application Experience e o Windows Defender, levando a um tempo ativo de 100% do disco

Isso está me deixando na parede há algum tempo, mas acho que finalmente consegui pegar (um dos) instigadores no ato.

Soluções já experimentadas sem efeito:

• Eu corri o chkdsk
• Eu não tenho KB2976978 instalado
• Eu tenho superfetch desativada
• Fazendo upgrade para o Windows 8.1
• Fazendo upgrade para o Windows 10

Ocasionalmente, minha área de trabalho do Windows (anteriormente 8, depois 8.1, agora executando 10) sofreria ataques de quase inutilidades. A investigação levaria a que o Windows Defender MsMpEng.exe fosse reportado como a causa do tempo ativo de 100% do disco no Monitor de Recursos. Presumivelmente, isso resultou em um sistema extremamente sem resposta porque o sistema tinha que competir pela E / S para ler o arquivo de paginação. Observando os detalhes da atividade do disco no Monitor de Recursos, vejo MsMpEng.exe lendo o que parecia ser todo arquivo no sistema ao longo de 5 a 10 minutos. Não havia varredura em execução no Defender que explicasse tal comportamento. Desativar a proteção ativa interrompe as leituras, mas isso não é uma solução viável em minha mente.

Operando sob a suposição de que Defender deve estar respondendo a mudanças aparentes no sistema de arquivos (já que o recurso de proteção ativa presumivelmente lê todos os arquivos como criados ou editados) Eu tenho executado o SysInternals Process Monitor durante essas lentidões para ver se poderia pegar o que estava provocando Defender, e acho que tive sorte desta vez.

Esteéumsubconjuntodeeventoscapturadospelomonitordeprocessoduranteumaexecução,ondetambémviodiretóriodaAutodesknaseçãodeatividadedodiscodoMonitordeRecursos.Vemosquerundll32.exeestáchamandoCreateFileemumarquivoexistentee,emseguida,Defenderentraelêomesmoarquivo(noarquivodepáginanãomenossemeuentendimentodeCreateFileMappingestivercorreto).Inspecionandoapilhaparaachamadaderundll32.exeparaCreateFile,vemososeguinte

invagent.dll / aeinv.dll parece ser a causa raiz aqui, mas o que eu consegui encontrar sobre desativá-los foi desinstalar o KB2976978, que meu sistema não possui.

Qual é o meu próximo passo para tentar consertar isso?