Problem

Es kann vorkommen, biespielsweise nach der automatischen Bereinigung (Entfernung/Löschung) einer PUA, der Client in Sopohs Central weiterhin als "Rot" (somit Kritisch) angezeigt wird. Sieht man sich die Ereignise an, sieht man eventuell eine immer wiederkehrende PUA Bereinigungs-Meldung. Auf den ersten Blick wird die PUA ständig blockiert und dann entfernt. Jedoch in den weiteren Details dieser Meldungen sieht man, dass die PUA Datei nicht gelöscht wurde, da die Datei nicht mehr existiert. Das System hängt also in einer "Dauerschleife".

Lösung

In den meisten Fällen kann das Löschen der Event-Logs Datenbank (auf dem Client) das Problem lösen.

Vorgang via Windows GUI:

1. Auf dem jeweiligen Gerät anmelden und den Manipulationsschutz (Tamper Protection) deaktivieren
2. Den Stophos Dienst "Sophos Health Service" stoppen
3. Zu folgenden Pfad wechseln: C:\ProgramData\Sophos\Health\Event Store\Database\
4. Die Datei events.db umbenennen auf events.db.old
5. Den Dienst "Sophos Health Service" starten
6. Den Task Manager öffnen
7. Den Task "Sophos Endpoint User Interface" (Sophos UI.exe) beenden.
8. Den Sophos Endpoint im Startmenü suchen und so wieder öffnen

Vorgang via CMD Shell:

1. Auf dem jeweiligen Gerät anmelden und den Manipulationsschutz (Tamper Protection) deaktivieren
2. Administrative CMD Shell starten: WIN+R > CMD > STRG+SHIFT+Enter
3. Folgende Befehle eingeben:
   net stop "Sophos Health Service"
   ren %ProgramData%\Sophos\Health\Event Store\Database\events.db %ProgramData%\Sophos\Health\Event Store\Database\events.db.old
   taskkill /im "Sophos UI.exe"
   net start "Sophos Health Service"
   "%ProgramFiles%\Sophos\Sophos UI\sophos ui.exe"