Sophos Central Endpoint mit aktiviertem Manipulationsschutz deinstallieren (Windows)

In diesem Artikel zeigen wir dir, wie du den Sophos Central Endpoint Client von deinem Windows-System entfernen kannst, obwohl der Manipulationsschutz dies verhindert.

Wichtig: Diese Variante der Deinstallation des Endpoint Clients sollte nur angewendet werden, wenn es keine Möglichkeit mehr gibt, den Manipulationsschutz auf normale Weise zu deaktivieren. Grund dafür kann sein, dass man das Passwort vergessen hat, oder den Computer in Sophos Central gelöscht hat, ohne vorher den Endpoint Client auf dem Computer zu deinstallieren. Wie man den Manipulationsschutz auf normale Weise deaktivieren kann, zeigen wir in dieser Anleitung.

Variante 1

  1. Starte dein Windows-System im abgesicherten Modus.
  2. Klicke auf Start, dann Ausführen und gib services.msc ein. Bestätige mit Enter oder klicke auf OK.
  3. Suche nach dem Sophos Anti-Virus Service und klicke mit der rechten Maustaste drauf.
  4. Aus dem Kontextmenü wählst du dann Eigenschaften und deaktivierst anschliessend den Service.
  5. Jetzt kannst du wieder auf Start und dann Ausführen klicken. Gib dieses Mal regedit ein. Bestätige mit Enter oder klicke OK.
  6. Wechsle im Registrierung-Editor zu folgendem Speicherort: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos MCS Agent und setze REG_DWORD Start auf 0x00000004
  7. Als nächstes wechsle im Registrierung-Editor zu folgendem Speicherort: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Config und setze die folgenden REG_DWORD-Werte SAVEnabled und SEDEnabled auf 0.
  8. Zum Schluss musst du im Registrierungs-Editor noch zum folgenden Speicherort wechseln: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Sophos\SAVService\TamperProtection und dort noch den Wert bei REG_DWORDauf 0 setzen.
  9. Starte das System nun wieder im normalen Modus.

Variante 2

  1. Starte dein Windows-System im abgesicherten Modus.
  2. Öffne anschliessend die Kommandozeile (Shell) und führe die folgenden Befehle aus:
    REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SAVService" /t REG_DWORD /v Start /d 0x00000004 /f
    REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos MCS Agent" /t REG_DWORD /v Start /d 0x00000004 /f
    REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Config" /t REG_DWORD /v SAVEnabled /d 0 /f
    REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Config" /t REG_DWORD /v SEDEnabled /d 0 /f
    REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Sophos\SAVService\TamperProtection" /t REG_DWORD /v Enabled /d 0 /f
    
  3. Starte das System nun wieder im normalen Modus.

Egal welche der zwei Varianten du wählst, sie sollten beide dazu führen, dass der Manipulationsschutz deaktiviert wird und du den Endpoint Client ohne Probleme deinstallieren kannst.