疑似火绒引发的 Windows 更新问题

joywonderful

电脑进行 Windows 累积更新时，正常下载。更新为“适用于 Windows 11 Version 24H2 的 06 累积更新，适合基于 x64 的系统 (KB5063060)”。（之前的累积更新都可以正常下载安装）
重启安装到 99% 时，提示：“无法完成更新，正在撤销更改”一类的字样。回滚重启后发现 `0x800f0922` 错误。
发现火绒日志有如下拦截：

11:01:00 秒的拦截具体日志是这个：

1. 防护项目：系统任务目录
   
2. 目标文件：C:\Windows\System32\Tasks\Microsoft\Windows\UNP\RunUpdateNotificationMgr
   
3. 操作结果：已阻止
   
4. 进程ID：2288
   
5. 操作进程：C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.26100.4193_none_a54a744177310c9b\TiWorker.exe
   
6. 操作进程命令行：C:\WINDOWS\winsxs\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.26100.4193_none_a54a744177310c9b\TiWorker.exe -Embedding
   
7. 父进程ID：1240
   
8. 父进程：C:\Windows\System32\svchost.exe
   
9. 父进程命令行：C:\WINDOWS\system32\svchost.exe -k DcomLaunch -p

复制代码

发现正好可以和 CBS.log 里的一个错误和以上拦截吻合（以及有个 `ACCESS_DENIED`）：

1. 2025-06-14 11:01:00, Error                 CSI    000011d1 (F) Logged @2025/6/14:03:01:00.564 : WmiCmiPlugin jobshandler.cpp(795): InstallManifestSectionOnline failed. HR=0x80070005.[gle=0x80004005]
   
2. 2025-06-14 11:01:00, Error                 CSI    000011d2 (F) Logged @2025/6/14:03:01:00.564 : Task XML:
   
3. <Task xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
   
4.   <RegistrationInfo>
   
5.     <URI>\Microsoft\Windows\UNP\RunUpdateNotificationMgr</URI>
   
6.     <SecurityDescriptor>O:SYD:P(A;;GA;;;SY)(A;;FRFX;;;LS)(A;;FRFX;;;BA)(A;;FRFX;;;AU)</SecurityDescriptor>
   
7.   </RegistrationInfo>
   
8.   <Triggers>
   
9.     <CalendarTrigger>
   
10.       <StartBoundary>2016-06-02T10:30:00</StartBoundary>
    
11.       <ScheduleByDay>
    
12.         <DaysInterval>1</DaysInterval>
    
13.       </ScheduleByD[gle=0x80004005]
    
14. 2025-06-14 11:01:00, Error                 CSI    ay>
    
15.       <RandomDelay>PT6H</RandomDelay>
    
16.     </CalendarTrigger>
    
17.     <RegistrationTrigger>
    
18.       <Enabled>true</Enabled>
    
19.       <Delay>PT1M</Delay>
    
20.     </RegistrationTrigger>
    
21.   </Triggers>
    
22.   <Principals>
    
23.     <Principal id="Author">
    
24.       <UserId>S-1-5-18</UserId>
    
25.       <RunLevel>HighestAvailable</RunLevel>
    
26.     </Principal>
    
27.   </Principals>
    
28.   <Settings>
    
29.     <UseUnifiedSchedulingEngine>true</UseUnifiedSchedulingEngine>
    
30.     <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    
31.     <DisallowStartIfOnBatt[gle=0x80004005]
    
32. 2025-06-14 11:01:00, Error                 CSI    eries>false</DisallowStartIfOnBatteries>
    
33.     <AllowHardTerminate>true</AllowHardTerminate>
    
34.     <StartWhenAvailable>true</StartWhenAvailable>
    
35.     <RunOnlyIfNetworkAvailable>true</RunOnlyIfNetworkAvailable>
    
36.     <AllowStartOnDemand>true</AllowStartOnDemand>
    
37.     <Enabled>false</Enabled>
    
38.     <Hidden>false</Hidden>
    
39.     <RunOnlyIfIdle>false</RunOnlyIfIdle>
    
40.     <WakeToRun>false</WakeToRun>
    
41.     <ExecutionTimeLimit>P3D</ExecutionTimeLimit>
    
42.     <Priority>7</Priority>
    
43.   </Settings>
    
44.   <Actions Context="Author">
    
45.     <E[gle=0x80004005]
    
46. 2025-06-14 11:01:00, Error                 CSI    xec>
    
47.       <Command>%windir%\System32\UNP\UpdateNotificationMgr.exe</Command>
    
48.     </Exec>
    
49.   </Actions>
    
50. </Task>
    
51. [gle=0x80004005]
    
52. 2025-06-14 11:01:00, Error      [0x018003] CSI    000011d3 (F) Failed execution of queue item Installer: Task Scheduler ({386b5911-b69e-4d2d-a3ab-796d2ec6af38}) with HRESULT HRESULT_FROM_WIN32(ERROR_ACCESS_DENIED).  Failure will be ignored: The failure was encountered during rollback; installer is reliable[gle=0x80004005]

复制代码

其余三个拦截似乎也能在 CBS.log 中找到对应的错误。附件为 `%windir%\Logs\CBS\CBS.log` 的压缩包。


请问为什么火绒会拦截 Windows 更新的任务？

joywonderful

我关闭火绒的 系统加固-系统任务目录 功能后再重新安装，已经成功安装了KB5063060。
这就是火绒系统加固的误判吧？

火绒运营专员

joywonderful 发表于 2025-6-14 12:30
我关闭火绒的 系统加固-系统任务目录 功能后再重新安装，已经成功安装了KB5063060。
这就是火绒系统加固的 ...

您好，麻烦您提供下C:\ProgramData\Huorong\Sysdiag（需要显示隐藏文件或者直接复制路径即可）log.db、log.db-shm、log.db-wal，我们本地确认下~

joywonderful

放到压缩包里了。

火绒运营专员

joywonderful 发表于 2025-6-14 13:05
放到压缩包里了。

好的，我们本地确认下，感谢您提供的信息~

joywonderful

火绒运营专员 发表于 2025-6-14 13:08
好的，我们本地确认下，感谢您提供的信息~

请问要确认多长时间呢？

火绒运营专员

joywonderful 发表于 2025-6-14 15:37
请问要确认多长时间呢？

您好，目前这边仅值班记录，详细进展预计周一给您答复哈~

shuimu

我也失败了。。。。

火绒运营专员

shuimu 发表于 2025-6-15 17:53
我也失败了。。。。

您好，您也是有火绒日志记录了相关的动作嘛？

火绒运营专员

您好，相关防护项“系统任务目录”默认是不开启的，您可以关闭之后再更新看一下

shuimu

火绒运营专员 发表于 2025-6-15 17:57
您好，您也是有火绒日志记录了相关的动作嘛？

更新和楼主是同一个 KB5063060，错误码 0x800f0922。

但我这里火绒没有任何日志。

但cbs日志说wmicmiplugin拒绝访问了。我关了系统加固，之后安装成功了。

1. 2025-06-15 17:09:47, Info                  CSI    00001e3a End executing advanced installer (sequence 0)
   
2.     Completion status: S_OK
   
3. 
   
4. 2025-06-15 17:09:47, Info                  CSI    00001e3b Online ticklers finished with status S_OK
   
5. 2025-06-15 17:09:47, Info                  CSI    00001e3c@2025/6/15:09:09:47.953 Finished running all AIs.
   
6. 
   
7. 2025-06-15 17:09:47, Info                  CSI    00001e3d The queue has completed running, and AI failures have occured.
   
8. 2025-06-15 17:09:47, Info                  CSI    00001e3e ==Error Summary Start==
   
9. 2025-06-15 17:09:47, Error                 CSI    00001e3f (F) Installer: Task Scheduler        Binary Name: wmicmiplugin.dll        ErrorCode: 80070005        Phase: 39        Mode: Delta        Component: NONE[gle=0x80004005]
   
10. 2025-06-15 17:09:47, Info                  CSI    00001e40 ==Error Summary End==
    
11. 2025-06-15 17:09:47, Error                 CBS    Startup: Failed to process advanced operation queue, startupPhase: 0.  A rollback transaction will be created. [HRESULT = 0x800f0922 - CBS_E_INSTALLERS_FAILED]
    
12. 2025-06-15 17:09:47, Info                  CBS    Setting ExecuteState key to: CbsExecuteStateInitiateRollback | CbsExecuteStateFlagAdvancedInstallersFailed
    
13. 2025-06-15 17:09:47, Info                  CBS    SetProgressMessage: progressMessageStage: -1, ExecuteState: CbsExecuteStateInitiateRollback | CbsExecuteStateFlagAdvancedInstallersFailed, SubStage: 0
    
14. 2025-06-15 17:09:47, Info                  CBS    Progress: UI message updated. Operation type: Update. Stage: 1 out of 1. Rollback.
    
15. 2025-06-15 17:09:47, Info                  CBS    Setting original failure status: 0x800f0922, last forward execute state: CbsExecuteStateResolvePending
    
16. 2025-06-15 17:09:47, Info                  CBS    Attempting to remove poqexec from SetupExecute
    
17. 2025-06-15 17:09:47, Info                  CBS    Removed poqexec from SetupExecute.
    
18. 2025-06-15 17:09:47, Info                  CBS    Configured poqexec to not pend to SetupExecute.
    
19. 2025-06-15 17:09:48, Info                  CBS    Startup: Changing logon timeout to a static timeout: 10800000
    
20. 2025-06-15 17:09:49, Error                 CSI    00001e41 (F) Installer: Task Scheduler        Binary Name: wmicmiplugin.dll        ErrorCode: 80070005        Phase: 39        Mode: Delta        Component: NONE[gle=0x80004005]
    
21. 2025-06-15 17:09:49, Info                  CSI    00001e42 Rolling back transactions...

复制代码

火绒运营专员

shuimu 发表于 2025-6-15 18:27
我这里火绒没有任何日志。

但cbs日志说wmicmiplugin拒绝访问了。我关了系统加固，之后安装成功了。

好的，您可以看一下在系统加固-文件防护规则里是否有开启系统任务目录防护项呢

shuimu

打开了，但我本人没有修改过其内容。
我是5.0升级过来的，可能有些默认选项有问题。
重置默认项后确实关闭了。

火绒运营专员

shuimu 发表于 2025-6-15 18:38
打开了，但我本人没有修改过其内容。
我是5.0升级过来的，可能有些默认选项有问题。
重置默认项后确实关 ...

您这边恢复默认后是否还有此问题出现呢？

joywonderful

话说这个问题能够解决吗，我自已认为有必要正常地使用 系统加固-系统任务目录 防护功能。