う〜む・・・COMODOでは無理そうなので
自動更新時はアップデートプロセスがSYSTEMで起動するのを逆手にとってSYSTEMに実行とACLの変更拒否を追加
アップデート自体はタスクスケジューラから自身のアカウントで起動させるようにした
万全を期すならアップデート専用のアカウントを作ってそのアカウントでのみ実行を許可すべきなんだろうな

というかAviraの自動アップデートプロセスの起動はタスクトレイのアプリケーションがやっているような・・・これを止めたら
アップデートプロセスが自動的に起動しない気がする