Sophos AntiVirus entfernen ohne Tamper Passwort

Soll einmal der Virenschutz von Sophos entfernt werden (z.B.: von der zentralen Verwaltung getrennt, Tamper Passwort nicht mehr vorhanden, …) kann einem die Deinstallation wegen fehlender Berechtigung fehlschlagen (Stichwort: Tamper Protection). Das ist in der Regel auch ein sinnvoller Sicherheitsmechionsanismus, sollte aber nicht zur Neuinstallation des kompletten Computers führen müssen.

Dafür gibt es aber einen Weg – trotz Sicherung – die Software zu deinstallieren. Auch ganz offiziell (https://community.sophos.com/kb/en-us/124377).

Kurz:

Der (Windows) Computer muss in den Safe Mode gestartet werden:

• bei älteren Windows Versionen während des Startvorgangs F8 drücken und in den “Abgesicherten Modus” wechseln
• bei Windows 8 bis 10 im Login Screen Shift gedrückt halten und einen Neustart einleiten
  • Troubleshoot
  • Advanced Options
  • Startup Settings –> Restart
  • Option: 4 (Enable Safe Mode)

Im Safe Mode angekommen:

• über “services.msc” den Dienst “Sophos Anti-Virus” auf den Startmodus “Disabled” stellen
• “regedit” aufrufen
  • unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Config die Schlüssel “SAVEnabled” und “SEDEnabled” auf 0 setzen
  • unter (32-bit:) HKEY_LOCAL_MACHINE\SOFTWARE\Sophos\SAVService\TamperProtection oder (64-bit:) HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Sophos\SAVService\TamperProtection den Schlüssel “Enabled” auf 0 setzen

Wieder per neustart in den “Normalen Modus” wechseln und nun lässt sich die Software deinstallieren.

Achtung: Die Endpoint Protection aus der UTM heraus wurde zu Ende 2018 eingestellt und wird zu Ende 2019 nicht weiter unterstützt.