2012年10月07日
Tweet
sophos の誤検知は、sophos 自身もアクセスを拒否するようになっていました。そこで拒否するだけならともかく、クリーンアップや削除を試すと、そのまま sophos は臨終を迎えるという、とても怖い状態なのです。
今回、そうしてアクセス拒否→削除という手順を行ったため、sophos の挙動がおかしくなってしまったPCがありました。以下対応方法です。
・誤検知したファイルを削除した場合
削除しただけであれば、以下のURLからの fix プログラムでうまくいきました
誤検知が原因で必要なファイルが Sophos Anti-Virus によって削除/移動された後に Sophos AutoUpdate を修復する
以下ログファイルです。
-------------------------------------------------------------------------
Writing script output to .\2012-10-7_12-17-13_#SV04#_000-Output.txt
Version 6.12
Fix issues enabled.
Checking that detected CID location is accessible
CID location "\\[server]\SophosUpdate\CIDs\S000\SAVSCFXP\" is accessible and will be used if a repair action is necessary
Working directory : 'C:\Users\ADMINI~1\AppData\Local\Temp\2'
Problem IDE is present.
IDE that fixes issue is NOT present.
Update did not receive newer IDEs.
Stopping SAV service
Deleting Quarantine.xml file
Deleted quarantine file C:\ProgramData\Sophos\Sophos Anti-Virus\Config\Quarantine.xml
Write IDE that fixes the issue
SAU files missing from the program files directory
Writing false positive detections list to .\2012-10-7_12-17-13_#SV04#_001-FalsePosAll.txt
Writing false positive moved list to .\2012-10-7_12-17-13_#SV04#_002-FalsePosMoved.txt
Writing false positive moved to restore list to .\2012-10-7_12-17-13_#SV04#_003-ToRestoreMoved.txt
Writing false positive deleted list to .\2012-10-7_12-17-13_#SV04#_004-FalsePosDeleted.txt
Writing false positive deleted to restore list to .\2012-10-7_12-17-13_#SV04#_005-ToRestoreDeleted.txt
No other files need to be moved back
SAU files still missing after restoring moved files
SAV files missing from the program files or common application data directories
Restoring missing SAU files from the local cache
Repairing SAU using 'Sophos AutoUpdate.msi'
Starting SAV service
Restarting Sophos Agent
Triggering update of product
Attempting to start ALMon.exe as the current user
-------------------------------------------------------------------------
・アンインストールをした場合
sophos の挙動がおかしいということで、アンインストールをすると、完璧に消すことができず、中途半端なアンインストールになってしまうようです。
そのときのエラーは、NoUpdateInProgress と出ていました。
とりあえず fix プログラムも試したのですが、エラーになってしまいました。
"\\[server]\SophosUpdate\CIDs\S000\SAVSCFXP\" にある、setup.exe を手動で行ったら問題無くインストールできました。

今回、そうしてアクセス拒否→削除という手順を行ったため、sophos の挙動がおかしくなってしまったPCがありました。以下対応方法です。
・誤検知したファイルを削除した場合
削除しただけであれば、以下のURLからの fix プログラムでうまくいきました
誤検知が原因で必要なファイルが Sophos Anti-Virus によって削除/移動された後に Sophos AutoUpdate を修復する
以下ログファイルです。
-------------------------------------------------------------------------
Writing script output to .\2012-10-7_12-17-13_#SV04#_000-Output.txt
Version 6.12
Fix issues enabled.
Checking that detected CID location is accessible
CID location "\\[server]\SophosUpdate\CIDs\S000\SAVSCFXP\" is accessible and will be used if a repair action is necessary
Working directory : 'C:\Users\ADMINI~1\AppData\Local\Temp\2'
Problem IDE is present.
IDE that fixes issue is NOT present.
Update did not receive newer IDEs.
Stopping SAV service
Deleting Quarantine.xml file
Deleted quarantine file C:\ProgramData\Sophos\Sophos Anti-Virus\Config\Quarantine.xml
Write IDE that fixes the issue
SAU files missing from the program files directory
Writing false positive detections list to .\2012-10-7_12-17-13_#SV04#_001-FalsePosAll.txt
Writing false positive moved list to .\2012-10-7_12-17-13_#SV04#_002-FalsePosMoved.txt
Writing false positive moved to restore list to .\2012-10-7_12-17-13_#SV04#_003-ToRestoreMoved.txt
Writing false positive deleted list to .\2012-10-7_12-17-13_#SV04#_004-FalsePosDeleted.txt
Writing false positive deleted to restore list to .\2012-10-7_12-17-13_#SV04#_005-ToRestoreDeleted.txt
No other files need to be moved back
SAU files still missing after restoring moved files
SAV files missing from the program files or common application data directories
Restoring missing SAU files from the local cache
Repairing SAU using 'Sophos AutoUpdate.msi'
Starting SAV service
Restarting Sophos Agent
Triggering update of product
Attempting to start ALMon.exe as the current user
-------------------------------------------------------------------------
・アンインストールをした場合
sophos の挙動がおかしいということで、アンインストールをすると、完璧に消すことができず、中途半端なアンインストールになってしまうようです。
そのときのエラーは、NoUpdateInProgress と出ていました。
とりあえず fix プログラムも試したのですが、エラーになってしまいました。
"\\[server]\SophosUpdate\CIDs\S000\SAVSCFXP\" にある、setup.exe を手動で行ったら問題無くインストールできました。