El virus 'Automation' autorenovable redirige Safari y Chrome a través de anuncios a bing. Se renueva a través de una alerta de memoria

Ejecutando MacOS 10.14.2. Safari 12.0.1.

Síntomas:

• Safari redirige las búsquedas a través de proxy a bing
• Chrome redirige las búsquedas a través de proxy a bing
• En Configuración de privacidad, en Automatización "Finder" sin icono tiene acceso a Safari
• Al quitarlo, aparece una ventana emergente de preferencias.
• Inmediatamente después de que aparezca una advertencia de memoria y cancelar las preferencias pop-up.
• "Finder" reaparece en "Automatización" con safari marcado.
• Al salir de Safari, se inicia solo. (No se puede cerrar safari)

Intentos: Utilizado "tccutil reset AppleEvents", ambos pop ups aparecen una vez después de la ejecución. Usado Avira anti-virus con escaneo rápido encontró y eliminó 1 virus, corrió un escaneo completo y encontró y eliminó 4. No lo corrí de nuevo.

Ni idea de cómo quitar esto sin desactivar SIP que no es algo que necesariamente quiero hacer, ni sabría cómo encontrar exactamente "Finder".

También parece estar utilizando algún exploit para otorgarse privilegios de Automatización incluso después de que los desmarques a través de algún problema de memoria que dispara la advertencia de memoria.

¿Cómo se puede limpiar este tipo de malware?