火绒安全软件

标题: 疑似火绒引发的 Windows 更新问题 [打印本页]
作者: joywonderful    时间: 2025-6-14 12:11
标题: 疑似火绒引发的 Windows 更新问题
本帖最后由 joywonderful 于 2025-6-14 12:17 编辑

电脑进行 Windows 累积更新时,正常下载。更新为“适用于 Windows 11 Version 24H2 的 06 累积更新,适合基于 x64 的系统 (KB5063060)”。(之前的累积更新都可以正常下载安装)
重启安装到 99% 时,提示:“无法完成更新,正在撤销更改”一类的字样。回滚重启后发现 `0x800f0922` 错误。
发现火绒日志有如下拦截:

11:01:00 秒的拦截具体日志是这个:
  1. 防护项目:系统任务目录
  2. 目标文件:C:\Windows\System32\Tasks\Microsoft\Windows\UNP\RunUpdateNotificationMgr
  3. 操作结果:已阻止
  4. 进程ID:2288
  5. 操作进程:C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.26100.4193_none_a54a744177310c9b\TiWorker.exe
  6. 操作进程命令行:C:\WINDOWS\winsxs\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.26100.4193_none_a54a744177310c9b\TiWorker.exe -Embedding
  7. 父进程ID:1240
  8. 父进程:C:\Windows\System32\svchost.exe
  9. 父进程命令行:C:\WINDOWS\system32\svchost.exe -k DcomLaunch -p
复制代码


发现正好可以和 CBS.log 里的一个错误和以上拦截吻合(以及有个 `ACCESS_DENIED`):
  1. 2025-06-14 11:01:00, Error                 CSI    000011d1 (F) Logged @2025/6/14:03:01:00.564 : WmiCmiPlugin jobshandler.cpp(795): InstallManifestSectionOnline failed. HR=0x80070005.[gle=0x80004005]
  2. 2025-06-14 11:01:00, Error                 CSI    000011d2 (F) Logged @2025/6/14:03:01:00.564 : Task XML:
  3. <Task xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  4.   <RegistrationInfo>
  5.     <URI>\Microsoft\Windows\UNP\RunUpdateNotificationMgr</URI>
  6.     <SecurityDescriptor>O:SYD:P(A;;GA;;;SY)(A;;FRFX;;;LS)(A;;FRFX;;;BA)(A;;FRFX;;;AU)</SecurityDescriptor>
  7.   </RegistrationInfo>
  8.   <Triggers>
  9.     <CalendarTrigger>
  10.       <StartBoundary>2016-06-02T10:30:00</StartBoundary>
  11.       <ScheduleByDay>
  12.         <DaysInterval>1</DaysInterval>
  13.       </ScheduleByD[gle=0x80004005]
  14. 2025-06-14 11:01:00, Error                 CSI    ay>
  15.       <RandomDelay>PT6H</RandomDelay>
  16.     </CalendarTrigger>
  17.     <RegistrationTrigger>
  18.       <Enabled>true</Enabled>
  19.       <Delay>PT1M</Delay>
  20.     </RegistrationTrigger>
  21.   </Triggers>
  22.   <Principals>
  23.     <Principal id="Author">
  24.       <UserId>S-1-5-18</UserId>
  25.       <RunLevel>HighestAvailable</RunLevel>
  26.     </Principal>
  27.   </Principals>
  28.   <Settings>
  29.     <UseUnifiedSchedulingEngine>true</UseUnifiedSchedulingEngine>
  30.     <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
  31.     <DisallowStartIfOnBatt[gle=0x80004005]
  32. 2025-06-14 11:01:00, Error                 CSI    eries>false</DisallowStartIfOnBatteries>
  33.     <AllowHardTerminate>true</AllowHardTerminate>
  34.     <StartWhenAvailable>true</StartWhenAvailable>
  35.     <RunOnlyIfNetworkAvailable>true</RunOnlyIfNetworkAvailable>
  36.     <AllowStartOnDemand>true</AllowStartOnDemand>
  37.     <Enabled>false</Enabled>
  38.     <Hidden>false</Hidden>
  39.     <RunOnlyIfIdle>false</RunOnlyIfIdle>
  40.     <WakeToRun>false</WakeToRun>
  41.     <ExecutionTimeLimit>P3D</ExecutionTimeLimit>
  42.     <Priority>7</Priority>
  43.   </Settings>
  44.   <Actions Context="Author">
  45.     <E[gle=0x80004005]
  46. 2025-06-14 11:01:00, Error                 CSI    xec>
  47.       <Command>%windir%\System32\UNP\UpdateNotificationMgr.exe</Command>
  48.     </Exec>
  49.   </Actions>
  50. </Task>
  51. [gle=0x80004005]
  52. 2025-06-14 11:01:00, Error      [0x018003] CSI    000011d3 (F) Failed execution of queue item Installer: Task Scheduler ({386b5911-b69e-4d2d-a3ab-796d2ec6af38}) with HRESULT HRESULT_FROM_WIN32(ERROR_ACCESS_DENIED).  Failure will be ignored: The failure was encountered during rollback; installer is reliable[gle=0x80004005]
复制代码
其余三个拦截似乎也能在 CBS.log 中找到对应的错误。附件为 `%windir%\Logs\CBS\CBS.log` 的压缩包。


请问为什么火绒会拦截 Windows 更新的任务?

CBS-log.zip

778.03 KB, 下载次数: 2932
作者: joywonderful    时间: 2025-6-14 12:30
本帖最后由 joywonderful 于 2025-6-14 12:39 编辑

我关闭火绒的 系统加固-系统任务目录 功能后再重新安装,已经成功安装了KB5063060。
这就是火绒系统加固的误判吧?
作者: 火绒运营专员    时间: 2025-6-14 12:56
本帖最后由 火绒运营专员 于 2025-6-14 13:03 编辑
joywonderful 发表于 2025-6-14 12:30
我关闭火绒的 系统加固-系统任务目录 功能后再重新安装,已经成功安装了KB5063060。
这就是火绒系统加固的 ...

您好,麻烦您提供下C:\ProgramData\Huorong\Sysdiag(需要显示隐藏文件或者直接复制路径即可)log.db、log.db-shm、log.db-wal我们本地确认下~
作者: joywonderful    时间: 2025-6-14 13:05
放到压缩包里了。

log.zip

18.42 KB, 下载次数: 2702
作者: 火绒运营专员    时间: 2025-6-14 13:08
joywonderful 发表于 2025-6-14 13:05
放到压缩包里了。

好的,我们本地确认下,感谢您提供的信息~
作者: joywonderful    时间: 2025-6-14 15:37
火绒运营专员 发表于 2025-6-14 13:08
好的,我们本地确认下,感谢您提供的信息~

请问要确认多长时间呢?
作者: 火绒运营专员    时间: 2025-6-14 15:40
joywonderful 发表于 2025-6-14 15:37
请问要确认多长时间呢?

您好,目前这边仅值班记录,详细进展预计周一给您答复哈~
作者: shuimu    时间: 2025-6-15 17:53
我也失败了。。。。
作者: 火绒运营专员    时间: 2025-6-15 17:57
shuimu 发表于 2025-6-15 17:53
我也失败了。。。。

您好,您也是有火绒日志记录了相关的动作嘛?
作者: 火绒运营专员    时间: 2025-6-15 17:59
您好,相关防护项“系统任务目录”默认是不开启的,您可以关闭之后再更新看一下
作者: shuimu    时间: 2025-6-15 18:27
本帖最后由 shuimu 于 2025-6-15 18:34 编辑
火绒运营专员 发表于 2025-6-15 17:57
您好,您也是有火绒日志记录了相关的动作嘛?

更新和楼主是同一个 KB5063060,错误码 0x800f0922

但我这里火绒没有任何日志。

但cbs日志说wmicmiplugin拒绝访问了。我关了系统加固,之后安装成功了。
  1. 2025-06-15 17:09:47, Info                  CSI    00001e3a End executing advanced installer (sequence 0)
  2.     Completion status: S_OK

  4. 2025-06-15 17:09:47, Info                  CSI    00001e3b Online ticklers finished with status S_OK
  5. 2025-06-15 17:09:47, Info                  CSI    00001e3c@2025/6/15:09:09:47.953 Finished running all AIs.

  7. 2025-06-15 17:09:47, Info                  CSI    00001e3d The queue has completed running, and AI failures have occured.
  8. 2025-06-15 17:09:47, Info                  CSI    00001e3e ==Error Summary Start==
  9. 2025-06-15 17:09:47, Error                 CSI    00001e3f (F) Installer: Task Scheduler        Binary Name: wmicmiplugin.dll        ErrorCode: 80070005        Phase: 39        Mode: Delta        Component: NONE[gle=0x80004005]
  10. 2025-06-15 17:09:47, Info                  CSI    00001e40 ==Error Summary End==
  11. 2025-06-15 17:09:47, Error                 CBS    Startup: Failed to process advanced operation queue, startupPhase: 0.  A rollback transaction will be created. [HRESULT = 0x800f0922 - CBS_E_INSTALLERS_FAILED]
  12. 2025-06-15 17:09:47, Info                  CBS    Setting ExecuteState key to: CbsExecuteStateInitiateRollback | CbsExecuteStateFlagAdvancedInstallersFailed
  13. 2025-06-15 17:09:47, Info                  CBS    SetProgressMessage: progressMessageStage: -1, ExecuteState: CbsExecuteStateInitiateRollback | CbsExecuteStateFlagAdvancedInstallersFailed, SubStage: 0
  14. 2025-06-15 17:09:47, Info                  CBS    Progress: UI message updated. Operation type: Update. Stage: 1 out of 1. Rollback.
  15. 2025-06-15 17:09:47, Info                  CBS    Setting original failure status: 0x800f0922, last forward execute state: CbsExecuteStateResolvePending
  16. 2025-06-15 17:09:47, Info                  CBS    Attempting to remove poqexec from SetupExecute
  17. 2025-06-15 17:09:47, Info                  CBS    Removed poqexec from SetupExecute.
  18. 2025-06-15 17:09:47, Info                  CBS    Configured poqexec to not pend to SetupExecute.
  19. 2025-06-15 17:09:48, Info                  CBS    Startup: Changing logon timeout to a static timeout: 10800000
  20. 2025-06-15 17:09:49, Error                 CSI    00001e41 (F) Installer: Task Scheduler        Binary Name: wmicmiplugin.dll        ErrorCode: 80070005        Phase: 39        Mode: Delta        Component: NONE[gle=0x80004005]
  21. 2025-06-15 17:09:49, Info                  CSI    00001e42 Rolling back transactions...
复制代码

作者: 火绒运营专员    时间: 2025-6-15 18:29
shuimu 发表于 2025-6-15 18:27
我这里火绒没有任何日志。

但cbs日志说wmicmiplugin拒绝访问了。我关了系统加固,之后安装成功了。

好的,您可以看一下在系统加固-文件防护规则里是否有开启系统任务目录防护项呢
作者: shuimu    时间: 2025-6-15 18:38
屏幕截图 2025-06-15 183504.png
屏幕截图 2025-06-15 183548.png

打开了,但我本人没有修改过其内容。
我是5.0升级过来的,可能有些默认选项有问题。
重置默认项后确实关闭了。
作者: 火绒运营专员    时间: 2025-6-16 08:38
shuimu 发表于 2025-6-15 18:38
打开了,但我本人没有修改过其内容。
我是5.0升级过来的,可能有些默认选项有问题。
重置默认项后确实关 ...

您这边恢复默认后是否还有此问题出现呢?
作者: joywonderful    时间: 2025-6-16 22:05
话说这个问题能够解决吗,我自已认为有必要正常地使用 系统加固-系统任务目录 防护功能。
作者: 火绒运营专员    时间: 2025-6-17 09:00
joywonderful 发表于 2025-6-16 22:05
话说这个问题能够解决吗,我自已认为有必要正常地使用 系统加固-系统任务目录 防护功能。 ...

您好,系统加固功能设计到火绒主防相关,您可以正常开启,但可能会出现异常现象哈。不开启此功能火绒也是可以很好的做到防护呢~
作者: 火绒运营专员    时间: 2025-6-17 13:46
您好~您反馈的问题已处理,6月17日病毒库更新后即可解决,感谢您的反馈和支持~



欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) Powered by Discuz! X3.4