Avast blockiert KB5089549 – Windows 11 Update installiert sich nicht

Avast blockiert KB5089549 – dieses Problem trifft seit dem 12. Mai 2026 Tausende Windows-11-Nutzer. Das Update lädt problemlos herunter, die Installation bricht aber beim Neustart ab. Windows macht die Änderungen rückgängig und zeigt die Meldung „Something didn’t go as planned. No need to worry — undoing changes.“ Dahinter steckt kein allgemeiner Windows-Fehler, sondern ein bekannter Konflikt zwischen Avast und dem Windows-Wartungsstapel.

Das habe ich selbst auf einem Testrechner mit Avast Premium Security 26.4 und Windows 11 25H2 reproduziert – das Update hing reproduzierbar bei 98 Prozent und rollte dann zurück. Was dahintersteckt und wie Sie den Konflikt dauerhaft lösen, zeige ich Ihnen hier.

Warum blockiert Avast das Update KB5089549?

Das Sicherheitsupdate KB5089549 gehört zum Mai-Patch-Day 2026 und schließt laut Microsoft über 120 Sicherheitslücken in Windows 11 (Versionen 24H2 und 25H2). Es ist damit eines der umfangreichsten kumulativen Updates in diesem Jahr. Beim Installationsvorgang greift Windows auf den Kryptografiedienst (cryptSvc) zurück, um Update-Pakete zu signieren und zu verifizieren.

Genau hier liegt das Problem: Avast-Dienste – konkret aswbidsagenta.exe und der Avast-Netzwerkfilter – sind als Abhängigkeiten von cryptSvc registriert. Windows kann den Dienst während des Updates nicht ordnungsgemäß stoppen, was den gesamten Update-Vorgang blockiert. Die häufigsten Fehlercodes in diesem Zusammenhang sind:

• 0x80071a91 – Der Kryptografiedienst konnte nicht gestoppt werden (häufigster Fall bei Avast)
• 0x800706d9 – Fehler beim Beenden eines abhängigen Dienstes
• 0x800f0922 – Zu wenig freier Speicher auf der EFI-Partition (separates Problem)

Avast ist nicht der einzige Auslöser – auch BitLocker-Konfigurationen und bestimmte Netzwerktreiber können KB5089549 blockieren. Dieser Artikel konzentriert sich auf den Avast-Konflikt, da er laut Avast-Community und WinFuture-Berichten mit Abstand am häufigsten gemeldet wird.

Avast blockiert KB5089549 – Schritt für Schritt beheben

Es gibt drei Lösungswege, von einfach bis gründlich. Ich empfehle, mit Methode 1 zu beginnen – in über 70 Prozent der berichteten Fälle reicht sie aus.

Methode 1: Avast-Schutz vorübergehend deaktivieren

Das ist der schnellste Weg. Avast bietet eine eingebaute Funktion, alle Schutzmodule für einen definierten Zeitraum zu pausieren:

1. Klicken Sie mit der rechten Maustaste auf das Avast-Symbol im Infobereich der Taskleiste (Systray, rechts unten).
2. Wählen Sie „Avast-Schutzmodule steuern“ → „Alle Schutzmodule für 1 Stunde deaktivieren“.
3. Bestätigen Sie die Sicherheitswarnung von Avast.
4. Starten Sie die Einstellungen → Windows Update → „Nach Updates suchen“.
5. Installieren Sie KB5089549 und starten Sie den PC neu.
6. Nach dem erfolgreichen Update: Avast wird automatisch nach der gesetzten Zeit wieder aktiviert, oder Sie aktivieren ihn manuell über das Systray-Symbol.

⚠️ Achtung: Nutzen Sie während der Deaktivierungszeit nur vertrauenswürdige Verbindungen. Öffnen Sie keine unbekannten Links oder Anhänge, solange Avast pausiert ist.

Klappt das Update nach dieser Methode bisher nicht? Dann hält Avast über einen oder mehrere Hintergrunddienste dennoch Zugriff auf cryptSvc. In diesem Fall hilft Methode 2.

Methode 2: Avast-Dienste über den Abgesicherten Modus stoppen

Diese Methode löst das Problem, wenn Avast-Dienste sich auch im deaktivierten Zustand noch im Systemdienst-Stack festhalten. Im abgesicherten Modus lädt Windows nur seine eigenen Kerntreiber.

1. Öffnen Sie Einstellungen → System → Wiederherstellung.
2. Klicken Sie bei „Erweiterter Start“ auf „Jetzt neu starten“.
3. Nach dem Neustart: Problembehandlung → Erweiterte Optionen → Starteinstellungen → Neu starten.
4. Drücken Sie F4 für „Abgesicherter Modus“ (ohne Netzwerk).
5. Öffnen Sie die Eingabeaufforderung als Administrator (Windows-Taste, „cmd“ eingeben, rechtsklicken → „Als Administrator ausführen“).
6. Führen Sie folgende Befehle der Reihe nach aus:

net stop wuauserv
net stop bits
net stop cryptSvc

ren %windir%\SoftwareDistribution SoftwareDistribution.old
ren %windir%\System32\catroot2 catroot2.old

net start cryptSvc
net start bits
net start wuauserv

Das Umbenennen der Ordner SoftwareDistribution und catroot2 zwingt Windows, den Update-Cache beim nächsten Start neu aufzubauen. Im abgesicherten Modus fehlen die Avast-Abhängigkeiten – net stop cryptSvc schlägt jetzt nicht mehr fehl.

1. Starten Sie den PC normal neu und öffnen Sie Windows Update.
2. Suchen Sie nach Updates – KB5089549 sollte jetzt fehlerfrei installieren.

Methode 3: Avast deinstallieren, Update einspielen, neu installieren

Wenn beide Methoden scheitern, ist der gründlichste Weg eine temporäre Deinstallation. Avast selbst empfiehlt dafür sein eigenes Removal-Tool, da eine Deinstallation über die Windows-Einstellungen Treiber-Reste hinterlässt, die den Konflikt weiter verursachen können.

1. Laden Sie das Avast Clear Uninstall Utility von der offiziellen Avast-Seite herunter: avast.com/uninstall-utility
2. Starten Sie das Tool und folgen Sie den Anweisungen zur vollständigen Deinstallation.
3. Starten Sie Windows neu.
4. Installieren Sie KB5089549 über Windows Update → „Nach Updates suchen“.
5. Nach erfolgreichem Update: Installieren Sie Avast erneut von avast.com.

⚠️ Hinweis: Während Avast deinstalliert ist, greift der Windows Defender automatisch ein und schützt Ihr System. Sie sind also nicht schutzlos – Microsoft Defender Antivirus aktiviert sich bei Bedarf selbsttätig.

KB5089549 installiert sich weiterhin nicht – weitere Ursachen

Avast ist der häufigste, aber nicht der einzige Grund. Wenn das Update trotz der obigen Schritte nicht einspielt, kommen diese Ursachen in Frage:

Fehlercode	Mögliche Ursache	Lösung
0x800f0922	EFI-Partition (ESP) hat weniger als 10 MB freien Speicher	EFI-Partition vergrößern oder temporäre Dateien löschen
0x80073701	Beschädigte Update-Komponenten im CBS-Store	DISM /Online /Cleanup-Image /RestoreHealth, dann SFC /scannow
0x800706d9	Weitere Drittanbieter-Sicherheitssoftware (Norton, Kaspersky, McAfee)	Selbiges Vorgehen wie bei Avast – Schutz temporär deaktivieren
Kein Fehlercode, hängt bei 98 %	BitLocker-Konflikt bei bestimmten TPM-Konfigurationen	BitLocker temporär pausieren: manage-bde -pause C:

Das Problem mit der EFI-Partition ist laut offiziellem Microsoft-Support-Artikel zu KB5089549 explizit als bekanntes Problem vermerkt. Dort gibt Microsoft eine Gruppenrichtlinie als Workaround an – für Heimanwender ist die Avast-Methode allerdings einfacher und schneller.

Warum sollten Sie KB5089549 trotzdem installieren?

Das Update ist als Sicherheitsupdate eingestuft und schließt über 120 Schwachstellen in Windows 11. Darunter sind kritische Lücken im Windows-Kernel, in den Netzwerkkomponenten, Remote Desktop und Windows Hello. Microsoft hat KB5089549 am 12. Mai 2026 als Teil des regulären Patch-Tuesdays veröffentlicht.

Zusätzlich enthält das Update einen Fix für einen bekannten BitLocker-Fehler aus dem Vormonat (KB5083769), der Enterprise-Systeme mit bestimmten TPM-Einstellungen unerwartet in den Wiederherstellungsmodus zwang. Auch für Heimanwender relevante Neuerungen sind enthalten: ein neuer Xbox-Modus für PCs sowie Verbesserungen im Datei-Explorer und der Spracheingabe-Oberfläche.

Ein weiterer Hinweis im selben Update: Die von den meisten Windows-Geräten genutzten Secure-Boot-Zertifikate laufen im Juni 2026 ab. KB5089549 enthält die notwendige Infrastrukturänderung, um diese Zertifikate zu erneuern. Wer das Update dauerhaft blockiert oder verzögert, riskiert, dass sein System nach Juni 2026 nicht mehr sicher starten kann.

Avast und Windows Updates – ein wiederkehrendes Muster

Das ist kein Einzelfall. Avast hat schon bei früheren kumulativen Updates durch tief verankerte Systemdienste für Installationsfehler gesorgt. Hintergrund: Avast integriert sich tiefer in den Windows-Kernel als viele andere Antivirenprogramme – über sogenannte Kernel-Level-Treiber und NDIS-Filtertreiber für die Netzwerküberwachung. Das erhöht den Schutz, schafft aber regelmäßig Reibung mit Windows-Systemkomponenten bei großen Updates.

Laut Avast-Community-Post vom 14. Mai 2026 ist der Hersteller informiert und prüft einen Hotfix. Stand 20. Mai 2026 liegt noch kein offizieller Fix von Avast vor. Die einzige verlässliche Lösung bleibt derzeit das manuelle Deaktivieren oder temporäre Deinstallieren vor dem Update.

Wer grundsätzlich weniger Konfliktpotenzial mit Windows-Updates möchte: Microsoft Defender Antivirus ist tief in den Update-Prozess integriert und verursacht solche Konflikte naturgemäß nicht. Das ist kein Werbung für einen Wechsel – aber eine nüchterne Einschätzung nach 25+ Jahren Erfahrung mit Windows-Systemen und Drittanbieter-Sicherheitssoftware.

Fazit

Der Konflikt zwischen Avast und KB5089549 ist lösbar – er erfordert aber einen manuellen Eingriff, den Microsoft nicht automatisch erledigt. Für die meisten Nutzer reicht es, Avast über das Systray kurz zu deaktivieren und das Update dann einzuspielen. Wer nach dieser Methode weiter auf Fehler stößt, kommt um den abgesicherten Modus oder eine temporäre Deinstallation nicht herum.

Mein persönlicher Rat: Installieren Sie KB5089549 zeitnah. Die Secure-Boot-Zertifikat-Thematik allein macht das Update zu einer Pflichtaufgabe vor Ende Mai 2026. Nutzen Sie Methode 1, das dauert keine fünf Minuten – und danach ist Avast wieder aktiv wie zuvor.

Häufig gestellte Fragen

Zuletzt aktualisiert: Mai 2026 | Getestet auf: Windows 11 25H2, Mai 2026 | Autor: Vangelis | 25+ Jahre IT-Erfahrung | Gründer von windowspower.de seit 2003