Sophos kann nicht deinstalliert werden-Zugriff verweigert
Hallo liebe Freunde,
ich wollte ursürünglich das BIOS updaten auf dem HP Compaq Elite 8300. Jedoch funktioniert das nicht und darum wollte ich auch Sophos entfernen, aber mir wird der Zugriff verweigert, obwohl ich als Sophos Admin eingetragen bin.
Ich weiß nicht mehr was ich machen soll und stehe kurz vor der Entsdcheidung einer Neuinstallation von Windows 10 durchzuführen.
Früher hatte ich in der Firma die Sophos Endpoint&Security Console und seitdem ich zu Hause bin die Sophos-Home Variante auf den PC's. Das Windows 10 wurde mal über das Windows 7 upgedatet. Ich weiß nicht mehr, ob das Gerät mal in der Domäne unter der Sophos Endpoint &Securitay aktiv war?
Danke
Achim
ich wollte ursürünglich das BIOS updaten auf dem HP Compaq Elite 8300. Jedoch funktioniert das nicht und darum wollte ich auch Sophos entfernen, aber mir wird der Zugriff verweigert, obwohl ich als Sophos Admin eingetragen bin.
Ich weiß nicht mehr was ich machen soll und stehe kurz vor der Entsdcheidung einer Neuinstallation von Windows 10 durchzuführen.
Früher hatte ich in der Firma die Sophos Endpoint&Security Console und seitdem ich zu Hause bin die Sophos-Home Variante auf den PC's. Das Windows 10 wurde mal über das Windows 7 upgedatet. Ich weiß nicht mehr, ob das Gerät mal in der Domäne unter der Sophos Endpoint &Securitay aktiv war?
Danke
Achim
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2457265562
Url: https://administrator.de/contentid/2457265562
Ausgedruckt am: 13.11.2024 um 09:11 Uhr
34 Kommentare
Neuester Kommentar
Zitat von @MirkoKR:
Es gibt von Sophis ein Tool und gute Beschreibung zum deinstallieren in mehreten Reboots.
Teil 1 zim Deaktivieren des Manipulationsschutzes muss im agbesichherten Modus erfolgen ...
.
Es gibt von Sophis ein Tool und gute Beschreibung zum deinstallieren in mehreten Reboots.
Teil 1 zim Deaktivieren des Manipulationsschutzes muss im agbesichherten Modus erfolgen ...
.
Sophos Endpoint mit aktovem Manipulationsschutz deaktivieren
Das passiert schon mal..
... wichtig ist. das du bestimmte Sachen im abgesicherten Modus machst...
Einmal hatte ich auch so einen Fall wie von dir geschildert...
.. soweit ich noch weiß, war die Lösung darin mit
den abgesicherten Modus voreinzustellen und unter der Registrkarte "Dienste" alle Sophos-Dienste zu deaktivieren, dann nach Neustart (im abgesicheten Modus) SophosZap auszuführen..
Zusätzlich kannst du die auf der Webseite angegebenen Registry-Keys manuell prüfen/ändern...
Geduld... hat auch bei mir schonmal mehr Durchläufe benötigt als vorgegeben...
.
... wichtig ist. das du bestimmte Sachen im abgesicherten Modus machst...
Einmal hatte ich auch so einen Fall wie von dir geschildert...
.. soweit ich noch weiß, war die Lösung darin mit
c:\ msconfig.exe
den abgesicherten Modus voreinzustellen und unter der Registrkarte "Dienste" alle Sophos-Dienste zu deaktivieren, dann nach Neustart (im abgesicheten Modus) SophosZap auszuführen..
Zusätzlich kannst du die auf der Webseite angegebenen Registry-Keys manuell prüfen/ändern...
Geduld... hat auch bei mir schonmal mehr Durchläufe benötigt als vorgegeben...
.
Zitat von @Maxwell53:
Ich habe gerade gesehen, dass unter C:\ eine Client-Anwendung für die Sophos Endpoint&Security Control abgelegt wurde. Das könnte von mir sein und eventuell in der Domäne gelaufen sein?
Ich habe gerade gesehen, dass unter C:\ eine Client-Anwendung für die Sophos Endpoint&Security Control abgelegt wurde. Das könnte von mir sein und eventuell in der Domäne gelaufen sein?
SophosZAP entfent alles, was Sophos Endpoint und Zubehör betrifft...
Zitat von @Maxwell53:
Hast Du (wo) einen extra Ordner angelegt für die SophosZap.exe ? Ich habe allerdings nichts von einer Batch-Datei gehört. Das ist mir nicht ganz klar?
Hast Du (wo) einen extra Ordner angelegt für die SophosZap.exe ? Ich habe allerdings nichts von einer Batch-Datei gehört. Das ist mir nicht ganz klar?
Sorry, Nein - agiere gerade aus dem Gedächtnis, daher hatte ich .bat gedacht...
Aber danke, dass Du Dir die Mühe machst. Vielleicht klappt es doch noch und ich muss nicht alles neu installieren?
Safür gibt's das Team hier ;- )
... also ich gabe das bestimmt 15+ mal geschafft, es runter zu bekommen, auch wenn es tricky war ...
Wie beschrieben, per "msconfig.exe" am Besten auf ,"Abgesicherten Modus" fixieren und in der Registerkarte "Dienste" in msconfig alles "Sophos *" Dienste deaktivieren.
Nach dem nächsten Start solltest du in der Lage sein, die erdte Phase von SophosZAP - das deaktivieren des Manipulationsschutzes / Temper Protection erfolgreich durchzuführen...
Zudem kannst du in dem Modus die Registry-Settings für den MSchutz ändern...
... falls nicht kannst du die Sicherheitseinstellungen der Registry-Keys ändern...
Evtl. hilft es, wenn du das Temp-Verzeichnis verbiegst - also die UmgebungsvariBle von c:\windows\temp, etc. z.B. auf einen neu erdtellten Ordner c:\temp verbiegst und für fiesen Ordner die Berechtigungen anpasst, das Jeder darauf zugeifen kann - das sollte bedtenfalls obige Tmp-Fehler wegen Schreibrechte überlisten...
... eine rabiatere Möglichkeit wäre, die exe-Dateien, die Probleme machen im abgesicherten Modus - also, wenn die nicht gestartet sind, im Dateiordner umzubenennen - dann können die nicht mehr gestartet werden, wrden dann aber ggf. von SophosZAP automatisch gelöscht ...
Wenn du das hinbekommst, ist es für Windows/Sophos lediglich "ein Fehler, das der Dienst nicht gestartet werden konnte".
Wenn ich übernehme werden die Sophos Dienste wieder aktiviert.
OK. Habe ich so noch nicht gehabt - zumindest, das ich mich nicht daran erinnere ..
Wichtig in Phase 1 ist, das die Registry Keys für die Temper-Protection / Manipulationsschutz gesetzt werden und auch Sophos Update nicht läuft.
Den jeweiligen Dienst kannst du ggf. auch als Reg-Key auf deaktiviert => 4 setzen
Reg Key Dienste
Wenn du den Key nicht ändrn kannst auf dem Übergeordneten Schlüssel ggf. Berechtigungen setzen... (zur Not Eigentümer setzen um Berechtigungen zu setzen)
.
Langsam gehen mir aber auch die Ideen aus, wie ich auf diesem Wege helfen kann .
Es lässt sich nicht alles schriftlich darstellen, was ich am Rechner kontrollieren/einstellen/testen würde ...
Bist Du denn überhaupt im abgesicherten Modus? Liest sich nicht so eindeutig.
Was natürlich rabiat geht:
Von extern booten (z.B. Knoppix), die Sophos-Dateien manuell umbenennen (oder, wenn Backup da ist, schlicht löschen), dann nach einem Neustart im abgesicherten Modus Deinstallationstool laufen lassen, notfalls auch nach Normalstart.
Gruß
DivideByZero
Was natürlich rabiat geht:
Von extern booten (z.B. Knoppix), die Sophos-Dateien manuell umbenennen (oder, wenn Backup da ist, schlicht löschen), dann nach einem Neustart im abgesicherten Modus Deinstallationstool laufen lassen, notfalls auch nach Normalstart.
Gruß
DivideByZero
Verleitet mich zu einer neuen Idee:
Du kannst von einem. USB-WIN booten ( Win PE/RE mit Registry-Editor - also NOTWIN, etc)
"regedit.exe" starten und den HKLM-Pfad deiner lokalen Installation importieren..
Dort dann die von Sophos dokumentierten Keys setzen...
Ok,... ich nehme an - und das ist kein Vorwurf! - das dass deine Erfahrung/Fähigkeiten überschreitet - das wird 99,n Prozent so gehen...
Sorry.
Meine Erfahrung,:
SophosZAP war konsequent - wenn es denn durchlief
Es ist manchmal tricky, den Manipulationsschutz / Temper Protection abzuschalten
=> Phase 1 von SophosZAP
zudem muss SophosUpdate abgeschaltet werden
=> Phase 1
Das sollte im abgesicherten Modus eigentlich durch SophosZAP passieren...
ich hatte Fälle, das das nicht klappte...
... das deaktivieren der Sophos- Dienste in msconfig.exe brachte dann meist die Lösung fur Phase1
Wenn nicht habe ich versucht, die dokumentierten Registry-Einträge manuell zu ändern - dazu war ggf. die Besitz-Übernahme der Sicherheitsrechte nötig.
Den Ansatz mit Win-Boot-Medium habe ich da nicht.genutzt, klingt aber vielversprechend....
Ende sollte das System tatsächlhch von Sophos 100% bereinigt sein ...
.
SophosZAP war konsequent - wenn es denn durchlief
Es ist manchmal tricky, den Manipulationsschutz / Temper Protection abzuschalten
=> Phase 1 von SophosZAP
zudem muss SophosUpdate abgeschaltet werden
=> Phase 1
Das sollte im abgesicherten Modus eigentlich durch SophosZAP passieren...
ich hatte Fälle, das das nicht klappte...
... das deaktivieren der Sophos- Dienste in msconfig.exe brachte dann meist die Lösung fur Phase1
Wenn nicht habe ich versucht, die dokumentierten Registry-Einträge manuell zu ändern - dazu war ggf. die Besitz-Übernahme der Sicherheitsrechte nötig.
Den Ansatz mit Win-Boot-Medium habe ich da nicht.genutzt, klingt aber vielversprechend....
Ende sollte das System tatsächlhch von Sophos 100% bereinigt sein ...
.
Moin.
Windows Registry Struktur & Pfade
Zitat von @Maxwell53:
"regedit.exe" starten und den HKLM-Pfad deiner lokalen Installation importieren..
.. wo finde ich den HKLM-Pfad der lokalen Installation bzw. wie komme ich auf den lokalen Pfad im Regedit? Da bin ich wirklich überfragt, aber vielen DankWindows Registry Struktur & Pfade
Zitat von @Maxwell53
Gibt es eventuell ein Programm wo ich geschützte oder gesperrte Verzeichnisse löschen kann?
Gibt es eventuell ein Programm wo ich geschützte oder gesperrte Verzeichnisse löschen kann?
Suche: Unlocker
... gibt's auch als Portable-Version...
Wenn du deinen Rechner von einer [Windows] LiveDVD oder LiveUSB aus startest, sollte das umbenennen ebenfalls klappen...
Hallo Achim,
es sieht so aus, als bootest Du weiterhin aus dem System, wo die Probleme auftreten, oder? Das ist m.E. Zeitverschwendung und führt ja nur zu Frust.
Das kannst Du umgehen, indem Du eine Windows PE-Umgebung, bootable, auf USB-Stick erstellst, davon bootest und dann alles umbenennst, löschst oder was auch immer.
Anleitung bpsw. hier: www.computerbild.de/artikel/cb-Tipps-Software-Windows-PE-Reparatur-Stick-erstellen-16583331.html
Deutlich besser gerüstet bist Du mit dem c't Notfall Windows.
Damit starten. Und dann lässt sich auch ganz einfach die lokale Registry bearbeiten, also nicht die der gebooteten PE-Umgebung, sondern die von Deiner Boot-Festplatte/SSD: www.top-password.com/blog/edit-offline-windows-registry-from-winpe/.
Das Herumtesten im Live-System würde ich mir sparen, auch so etwas wie Unlocker. Einfach von außerhalb booten, dann kann technisch gar nichts mehr quer schießen, weil von Sophos nichts geladen wird, was blockieren kann.
Gruß
DivideByZero
es sieht so aus, als bootest Du weiterhin aus dem System, wo die Probleme auftreten, oder? Das ist m.E. Zeitverschwendung und führt ja nur zu Frust.
Das kannst Du umgehen, indem Du eine Windows PE-Umgebung, bootable, auf USB-Stick erstellst, davon bootest und dann alles umbenennst, löschst oder was auch immer.
Anleitung bpsw. hier: www.computerbild.de/artikel/cb-Tipps-Software-Windows-PE-Reparatur-Stick-erstellen-16583331.html
Deutlich besser gerüstet bist Du mit dem c't Notfall Windows.
Damit starten. Und dann lässt sich auch ganz einfach die lokale Registry bearbeiten, also nicht die der gebooteten PE-Umgebung, sondern die von Deiner Boot-Festplatte/SSD: www.top-password.com/blog/edit-offline-windows-registry-from-winpe/.
Das Herumtesten im Live-System würde ich mir sparen, auch so etwas wie Unlocker. Einfach von außerhalb booten, dann kann technisch gar nichts mehr quer schießen, weil von Sophos nichts geladen wird, was blockieren kann.
Gruß
DivideByZero
Zitat von @Maxwell53:
Hall danke , den Unlocker habe ich heute Vormittag gefunden, aber das geht auch nicht was ich brauche.
Hall danke , den Unlocker habe ich heute Vormittag gefunden, aber das geht auch nicht was ich brauche.
Vielleicht hilft dir das ja:
Netzwelt: Gesperrte Ordner und Dateien löschen
.
Hallo Achim,
sieh es mir bitte nach, aber das wird ja nun etwas mühsam.
Also klarstellend: entweder die kleinschrittige Anleitung der Computerbild (Nr. 1 bis 10 + Videos), oder die Anleitung zum c't Notfall-Windows. Das sind 2 Paar Schuhe.
Bei den Fragen, die Du stellst, rate ich von der technisch besseren Variante (c't Notfall Windows) ab, ehrlich gesagt ebenso von allen Registry-Spielereien. Und - ebenso ehrlich, ohne Dich zu kennen: es scheint angezeigt, Dir zu empfehlen, jemanden dazu zu ziehen, der weiß, was er tut und da nicht gerade Novize ist. Eingriffe in die Registry oder das Löschen von Dateien können, falsch ausgeführt, schnell dazu führen, dass überhaupt nichts mehr bootet.
Wenn Du Dich selbst daran wagst: mache erst einmal ein vollständiges Backup (wenn nicht schon, wie es sein müsste, vorhanden ist). Und zwar ein Imagebackup, z.B. mit Macrium Reflect.
Nutze die Computerbild-Variante und folge deren Anleitung Schritt für Schritt. Dann kommt auch ein USB-Stick heraus, der mit Windows bootet. Auch die Frage, ob und wo die zip-Datei entpackt werden muss, wird dort beantwortet (und ja, sie muss). Dass Du da nicht gelesen hast, erkennt man auch daran, dass Du schon irgendetwas mit Rufus gemacht hast. Das ist der letzte Schritt, denn damit wird das fertige Paket auf den USB-Stick übertragen. Bevor das erstellt ist, gibt es nichts Sinnvolles vorzubereiten. Und die Downloader-Exe muss natürlich ebenfalls zuerst ausgeführt werden, damit kommt erst das Windows Image auf die Platte, das dann umgebaut wird (aber steht ja alles bei Computerbild).
Wie @aqui hier immer in kurzer, prägnanter Form so schön sagt: lesen und verstehen....
Viel Erfolg!
DivideByZero
sieh es mir bitte nach, aber das wird ja nun etwas mühsam.
Also klarstellend: entweder die kleinschrittige Anleitung der Computerbild (Nr. 1 bis 10 + Videos), oder die Anleitung zum c't Notfall-Windows. Das sind 2 Paar Schuhe.
Bei den Fragen, die Du stellst, rate ich von der technisch besseren Variante (c't Notfall Windows) ab, ehrlich gesagt ebenso von allen Registry-Spielereien. Und - ebenso ehrlich, ohne Dich zu kennen: es scheint angezeigt, Dir zu empfehlen, jemanden dazu zu ziehen, der weiß, was er tut und da nicht gerade Novize ist. Eingriffe in die Registry oder das Löschen von Dateien können, falsch ausgeführt, schnell dazu führen, dass überhaupt nichts mehr bootet.
Wenn Du Dich selbst daran wagst: mache erst einmal ein vollständiges Backup (wenn nicht schon, wie es sein müsste, vorhanden ist). Und zwar ein Imagebackup, z.B. mit Macrium Reflect.
Nutze die Computerbild-Variante und folge deren Anleitung Schritt für Schritt. Dann kommt auch ein USB-Stick heraus, der mit Windows bootet. Auch die Frage, ob und wo die zip-Datei entpackt werden muss, wird dort beantwortet (und ja, sie muss). Dass Du da nicht gelesen hast, erkennt man auch daran, dass Du schon irgendetwas mit Rufus gemacht hast. Das ist der letzte Schritt, denn damit wird das fertige Paket auf den USB-Stick übertragen. Bevor das erstellt ist, gibt es nichts Sinnvolles vorzubereiten. Und die Downloader-Exe muss natürlich ebenfalls zuerst ausgeführt werden, damit kommt erst das Windows Image auf die Platte, das dann umgebaut wird (aber steht ja alles bei Computerbild).
Wie @aqui hier immer in kurzer, prägnanter Form so schön sagt: lesen und verstehen....
Viel Erfolg!
DivideByZero
Zitat von @Maxwell53:
ich habe keine Belehrung erwartet, sondern nur angefragt, in welcher Reihenfolge und Prozedur vorgegangen werden soll? Wenn diese Beschreibung von C'T so eindeutig gewesen wäre und keine Fehlermeldung bezüglich der "WIM-Datei" angezeigt hätte und die Source-Auswahl nicht untergraut gewesen wäre, dann hätte ich vermutlich auch nicht angefragt.
ich habe keine Belehrung erwartet, sondern nur angefragt, in welcher Reihenfolge und Prozedur vorgegangen werden soll? Wenn diese Beschreibung von C'T so eindeutig gewesen wäre und keine Fehlermeldung bezüglich der "WIM-Datei" angezeigt hätte und die Source-Auswahl nicht untergraut gewesen wäre, dann hätte ich vermutlich auch nicht angefragt.
Es liegt mir fern, hier jemanden zu belehren. Ich helfe, ehrenamtlich, wie viele andere hier auch. Wenn dann aber die Links, die wir ja auch nicht im Kopf haben, sondern noch einmal heraussuchen und verifizieren, nicht einmal gelesen werden - denn dann kann es, jedenfalls für versierte ITler, keine großartigen Nachfragen mehr geben -, dann erlaube ich mir auch, das auszusprechen. Was Du kannst oder nicht, weiß ich nicht. Aber es gibt hier oft Novizen, denen man nun einmal in einem spezialisierten Forum besser rät, die Finger davon zu lassen, bevor sie Unheil anrichten - auch das ist eine wohlmeinende Hilfe.
Du hast da schlicht etwas vermischt. Downgeloadet hast Du nach Deinen Angaben die Tools von der Computerbild und der c't, und dann wohl versucht, die Tools von der Computerbild-Beschreibung mit der Beschreibung der c't ans Laufen zu bekommen, jedenfalls nach dem, was Du schreibst.
Das sind auch keine Computerbild-Tools, sondern lediglich eine kleinschrittige Anleitung der Computerbild für sinnvolle Tools, die es für diesen Zweck frei im Netz gibt.
Die c't "Bakery" läuft etwas anders, da benötigt man nur das, was die c't auf den Seiten darstellt und deren Anleitung.
Gruß
DivideByZero
Nur falls nochmal jemand das Problem hat und hierüber stolpert.
Die Kombination aus msconfig und SophosZAP hat bei mir bisher immer funktioniert - auch gerade erst wieder bei Windows 10 21H2.
msconfig schaltet zuverlässig und dauerhaft die Sophos-Dienste aus und SophosZAP in einem nicht-Systemordner abgelegt und gestartet erledigt mit einem bzw. zwei Reboots den Rest. Keine 5 Minuten Arbeit.
Das ist die schnellste Lösung um das Ding loszuwerden - ohne manuelle Registry-Änderungen, Dateien umbenennen usw.
Die Kombination aus msconfig und SophosZAP hat bei mir bisher immer funktioniert - auch gerade erst wieder bei Windows 10 21H2.
msconfig schaltet zuverlässig und dauerhaft die Sophos-Dienste aus und SophosZAP in einem nicht-Systemordner abgelegt und gestartet erledigt mit einem bzw. zwei Reboots den Rest. Keine 5 Minuten Arbeit.
Das ist die schnellste Lösung um das Ding loszuwerden - ohne manuelle Registry-Änderungen, Dateien umbenennen usw.
Hallo Maxwell,
SophosZAP ist ein "Program" (eigentlich ein selbst-entpackendes Archiv mit Script) von Sophos, welches im Prinzip das Gleiche macht, wie die Änderungen, die oben im Thread erwähnt wurden und die überzähligen Dateien und Ordner löscht.
Sophos selbst bezeichnet das Script als "last resort", also letzte Möglichkeit, weil das Script mit Heuristiken arbeitet und theoretisch auch Sachen löschen könnte, die nichts mit Sophos zu tun haben.
Bei über 50 Einsätzen bei mir ist da aber noch nie was passiert.
Wenn man danach googelt, findet man gleich die Seite von Sophos, wo man SophosZAP downloaden kann. Direkt verlinken darf ich das nicht, weil man zum Download den US-Exportbestimmungen zustimmen muss.
Mit nicht-System-Ordner meine ich alle Ordner, die nicht durch die UAC von Windows geschützt werden.
Also am besten einfach einen neuen Ordner anlegen und gut isses (und nicht so wie der Thread-Starter direkt in C:\)
Ich hoffe dir hilft das weiter
SophosZAP ist ein "Program" (eigentlich ein selbst-entpackendes Archiv mit Script) von Sophos, welches im Prinzip das Gleiche macht, wie die Änderungen, die oben im Thread erwähnt wurden und die überzähligen Dateien und Ordner löscht.
Sophos selbst bezeichnet das Script als "last resort", also letzte Möglichkeit, weil das Script mit Heuristiken arbeitet und theoretisch auch Sachen löschen könnte, die nichts mit Sophos zu tun haben.
Bei über 50 Einsätzen bei mir ist da aber noch nie was passiert.
Wenn man danach googelt, findet man gleich die Seite von Sophos, wo man SophosZAP downloaden kann. Direkt verlinken darf ich das nicht, weil man zum Download den US-Exportbestimmungen zustimmen muss.
Mit nicht-System-Ordner meine ich alle Ordner, die nicht durch die UAC von Windows geschützt werden.
Also am besten einfach einen neuen Ordner anlegen und gut isses (und nicht so wie der Thread-Starter direkt in C:\)
Ich hoffe dir hilft das weiter