Zitat von mpca am 5. Mai 2021, 10:01 Uhr

https://www.hasslinger.com/index.php/de/blog/sophos-central-endpoint-deinstallieren-mit-sophos-zap-tool

 

 

Wenn die Deinstallation mit einem MSI Fehler beendet wird und im Eventlog eine fehlende Datei dokumentiert wird, einfach von einem funktionierenden Rechner das Sophos AV Verzeichnis kopieren (den Inhalt), danach kann er den AV wieder deinstallieren ohne Fehler.

Grund dafür und für eine event. Autoisolation, beim Update ist etwas schief gelaufen und es fehlen einfach Dateien.

###

https://support.utm-shop.de/blog/technische_informationen/sophos-central-endpoint-deinstallieren

In diesem Artikel erfahren Sie, wie Sie den Sophos Endpoint von ihrem Windows Client deinstallieren.

Um die Deinstallation durchzuführen, werden Adminrechte auf dem Client benötigt.

Manipulationsschutz deaktivieren

1. Melden Sie sich an ihrem Sophos Central Admin Konto an.
2. Navigieren Sie zu Endpoint Protection –> Computer
3. Wählen Sie den Computer aus, für den Sie den Manipulationsschutz deaktivieren möchten.
4. Unter dem Bereich Geräteverschlüsselung finden Sie die Option zum deaktivieren des Manipulationsschutzes. Es kann ein paar Minuten in Anspruch nehmen, bis die Änderung synchronisiert wird.
5. Nachdem Sie den Maniupulationsschutz deaktiviert haben, können Sie mit der Deinstallation beginnen. Öffnen Sie die Systemsteuerung des Clients und wählen Sie Programme deinstallieren aus.
6. Suchen Sie den „Sophos Endpoint Agent“ aus der Liste. Klicken Sie anschließend auf Deinstallieren.
7. Öffnen Sie Sophos Central Admin erneut.
8. Navigieren Sie zu Endpoint Protection –> Computer
9. Durch Auswählen des Computers und klicken auf Löschen, können Sie den Computer nun aus Central entfernen.

Sophos Central Endpoint mit aktiviertem Manipulationsschutz deinstallieren

Haben Sie den Client aus der Liste der Computer in Sophos Central Admin entfernt, ohne den Manipulationsschutz zu deaktivieren, ist es nicht ohne weiteres möglich, den Sophos Endpoint Agent von dem Client zu entfernen. Die folgende Anleitung sollte nicht genutzt werden, solange es möglich ist, den Manipulationsschutz normal zu deaktivieren!

1. Starten Sie das Windows-System im abgesicherten Modus.
2. Klicken Sie auf Start –> Ausführen und geben Sie „services.msc“ ein. Bestätigen Sie mit Enter oder einem Klick auf OK.
3. Suchen Sie nach dem Service „Sophos Anti-Virus“ und machen Sie einen Rechtsklick.
4. Wählen Sie Eigenschaften aus dem Kontextmenü aus.
5. Deaktivieren Sie den Service.
6. Klicken Sie erneut auf Start –> Ausführen. Geben Sie „regedit“ ein. Bestätigen Sie mit Enter oder einem Klick auf OK.
7. Wechseln Sie im Registrierungseditor zum Speicherort: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos MCS Agent
8. Setzen Sie REG_DWORD „Start“ auf 0x00000004
9. Wechseln Sie den Speicherort auf: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Config
10. Setzen Sie die REG_DWORD-Werte „SAVEnabled“ und „SEDEnabled“ auf 0
11. Wechseln Sie den Speicherort auf: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Sophos\SAVService\TamperProtection
12. Setzen Sie den Wert bei „REG_DWORD“ auf 0
13. Starten Sie das System im normalen Modus.

Der Manipulationsschutz sollte nun deaktiviert sein und Sie können mit der normalen Deinstallation fortfahren.

 

https://support.sophos.com/support/s/article/KB-000033686?language=en_US

 

Overview

This knowledge base article provides information on gathering the uninstall string of different Sophos Endpoint Security and Control components and how to uninstall each using a command line or a batch file. Every product version has a different uninstall string, meaning that the script does not uninstall components as expected.

Do not run the uninstall batch file on a computer with the Sophos Management Server, one that has been designated as a Message Relay, or on computers running server-side components such as Sophos Update Manager or  Sophos PureMessage.

Sophos is not accountable for any loss of data resulting from following these instructions.

Aside from uninstalling Sophos using the uninstall strings, you can also remove Sophos using our tool called SophosZap.

The following sections are covered:

• Get the uninstall strings
• Review the Windows installer parameters
• Create the batch file

Applies to the following Sophos products and versions:
Sophos Endpoint Security and Control

Get the uninstall strings

Open a Command Prompt with admin privilege and run the following commands:

• 32-bit: REG QUERY HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall /s /f SOPHOS > C:\Sophos_Uninstall_Strings.txt
• 64-bit: REG QUERY HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall /s /f SOPHOS > C:\Sophos_Uninstall_Strings.txt

Example:

For Sophos Anti-Virus 10.8.4.227, the command REG QUERY will result to HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{01423865-551B-4C59-B44A-CC604BC21AF3}

The uninstall command will then be MsiExec.exe /X{01423865-551B-4C59-B44A-CC604BC21AF3}

Note: On a 64-bit computer, run as well the 32-bit REG QUERY command if the other Sophos components aren’t appearing.

Review the Windows installer parameters

The uninstall strings copied from the registry may contain MsiExec.exe parameters. Change the parameters to control what the user sees on the screen and how the computer behaves.

For example, the uninstall string for Sophos Anti-Virus 10.8.4.227 and the modified actions are the following:

Action	String
Uninstall string	MsiExec.exe /X{01423865-551B-4C59-B44A-CC604BC21AF3}
Silent uninstall	MsiExec.exe /X{01423865-551B-4C59-B44A-CC604BC21AF3} /qn
Delay restart	MsiExec.exe /X{01423865-551B-4C59-B44A-CC604BC21AF3} /qn REBOOT=SUPPRESS
Logs created	MsiExec.exe /X{01423865-551B-4C59-B44A-CC604BC21AF3} /qn REBOOT=SUPPRESS /L*v %windir%\Temp\Uninstall_SAV10_Log.txt

It’s advisable to create a log file as part of the uninstall process for each component to help facilitate troubleshooting if an issue appears. A separate file is needed for each component.

For further information on Windows Installer (MsiExec.exe) and its associated parameters, it is recommended that you consult up-to-date Microsoft documentation.

Create the batch file

1. Turn off tamper protection on the computer that Sophos will be uninstalled from.
2. Stop Sophos AutoUpdate Service to prevent a potential update or conflict during the uninstall process. The command net stop "Sophos AutoUpdate Service" can be included in the batch file.
3. Open Notepad and paste the uninstall string for each component. Make sure to observe the following order:
   1. Sophos Remote Management System
   2. Sophos Network Threat Protection
   3. Sophos Client Firewall
   4. Sophos Anti-Virus
   5. Sophos AutoUpdate
   6. Sophos Diagnostic Utility
   7. Sophos Exploit Prevention or Sophos CryptoGuard (on a Server)
   8. Sophos Clean
   9. Sophos Patch Agent
   10. Sophos Endpoint Defense

   Note: For more information, go to Sophos Central Endpoint and Server: How to uninstall Sophos using the command line or a batch file.

4. Save the file and change its extension from .txt to .bat.
5. Try the batch file on a test computer.

If the uninstall fails, extract the SDU logs from the affected endpoint or server. Download and run the Windows zip version from Sophos Diagnostic Utility (SDU): How to locate and download, then submit the logs to Sophos Support.