Sophos AntiVirus entfernen ohne Tamper Passwort

Soll einmal der Virenschutz von Sophos entfernt werden (z.B.: von der zentralen Verwaltung getrennt, Tamper Passwort nicht mehr vorhanden, …) kann einem die Deinstallation wegen fehlender Berechtigung fehlschlagen (Stichwort: Tamper Protection). Das ist in der Regel auch ein sinnvoller Sicherheitsmechionsanismus, sollte aber nicht zur Neuinstallation des kompletten Computers führen müssen.

Dafür gibt es aber einen Weg – trotz Sicherung – die Software zu deinstallieren. Auch ganz offiziell (https://community.sophos.com/kb/en-us/124377).

Kurz:

Der (Windows) Computer muss in den Safe Mode gestartet werden:

  • bei älteren Windows Versionen während des Startvorgangs F8 drücken und in den “Abgesicherten Modus” wechseln
  • bei Windows 8 bis 10 im Login Screen Shift gedrückt halten und einen Neustart einleiten
    • Troubleshoot
    • Advanced Options
    • Startup Settings –> Restart
    • Option: 4 (Enable Safe Mode)

Im Safe Mode angekommen:

  • über “services.msc” den Dienst “Sophos Anti-Virus” auf den Startmodus “Disabled” stellen
  • “regedit” aufrufen
    • unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Config die Schlüssel “SAVEnabled” und “SEDEnabled” auf 0 setzen
    • unter (32-bit:) HKEY_LOCAL_MACHINE\SOFTWARE\Sophos\SAVService\TamperProtection oder (64-bit:) HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Sophos\SAVService\TamperProtection den Schlüssel “Enabled” auf 0 setzen

Wieder per neustart in den “Normalen Modus” wechseln und nun lässt sich die Software deinstallieren.

Achtung: Die Endpoint Protection aus der UTM heraus wurde zu Ende 2018 eingestellt und wird zu Ende 2019 nicht weiter unterstützt.

Comments

  1. Hört sich alles nett an funktioniert aber nicht

    Im Safe Mode angekommen:

    über “services.msc” den Dienst “Sophos Anti-Virus” auf den Startmodus “Disabled” stellen
    “regedit” aufrufen > das ist bei mir nicht möglich, zugriff verweigert !
    unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Config die Schlüssel “SAVEnabled” und “SEDEnabled” auf 0 setzen > Auch hier ist es nicht möglich den wert zu ändern.!!!
    unter (32-bit:) HKEY_LOCAL_MACHINE\SOFTWARE\Sophos\SAVService\TamperProtection oder (64-bit:) HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Sophos\SAVService\TamperProtection den Schlüssel “Enabled” auf 0 setzen

    Auch hier ist es nicht möglich

  2. Recht interessant war, dass ich die beschriebenen Änderungen heute auf einem Gerät auch vornehmen konnte, ohne in den abgesicherten Modus zu gehen, was aufgrund der Remoteverbindung nicht anders möglich gewesen wäre. Ein Manipulationsschutzkennwort hatte ich bei der Installation seinerzeit nicht oder nicht bewusst gesetzt, jedenfalls war es nicht dokumentiert, aber eine Deinstallation fragte nach diesem.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert