Sophos AntiVirus entfernen ohne Tamper Passwort

Soll einmal der Virenschutz von Sophos entfernt werden (z.B.: von der zentralen Verwaltung getrennt, Tamper Passwort nicht mehr vorhanden, …) kann einem die Deinstallation wegen fehlender Berechtigung fehlschlagen (Stichwort: Tamper Protection). Das ist in der Regel auch ein sinnvoller Sicherheitsmechionsanismus, sollte aber nicht zur Neuinstallation des kompletten Computers führen müssen.

Dafür gibt es aber einen weg, trotz Sicherung die Software zu deinstallieren. Auch ganz offiziell (https://community.sophos.com/kb/en-us/124377).

Kurz:

Der (Windows) Computer muss in den Safe Mode gestartet werden:

  • bei älteren Windows Versionen während des Startvorgangs F8 drücken und in den “Abgesicherten Modus” wechseln
  • bei Windows 8 bis 10 im Login Screen Shift gedrückt halten und einen Neustart einleiten
    • Troubleshoot
    • Advanced Options
    • Startup Settings –> Restart
    • Option: 4 (Enable Safe Mode)

Im Safe Mode angekommen:

  • über “services.msc” den Dienst “Sophos Anti-Virus” auf den Startmodus “Disabled” stellen
  • “regedit” aufrufen
    • unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Config die Schlüssel “SAVEnabled” und “SEDEnabled” auf 0 setzen
    • unter (32-bit:) HKEY_LOCAL_MACHINE\SOFTWARE\Sophos\SAVService\TamperProtection oder (64-bit:) HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Sophos\SAVService\TamperProtection den Schlüssel “Enabled” auf 0 setzen

Wieder per neustart in den “Normalen Modus” wechseln und nun lässt sich die Software deinstallieren.

Achtung: Die Endpoint Protection aus der UTM heraus wurde zu Ende 2018 eingestellt und wird zu Ende 2019 nicht weiter unterstützt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.