¿Cómo desinstalo Trend Micro Security Agent?

Acabo de hacer esto yo mismo, esto es lo que aprendí mientras lo hacía.

Gran parte de la dificultad en la desinstalación de Trend Micro proviene del hecho de que genera procesos que luego interfieren con su eliminación (esto realmente tiene sentido para un antivirus, pero ciertamente hace que sea un desafío cuando tenemos que eliminarlo a mano). Básicamente, vamos a hacer esto en dos movimientos principales: 1) matar esos procesos que interfieren, 2) borrar todos los archivos asociados con Trend Micro.

Tendrás que hacerlo a través del Terminal programa. Si nunca ha utilizado Terminal Antes, ten cuidado: nada de lo que se indica a continuación debería dañar nada (salvo el antivirus de Trend Micro), pero es una herramienta muy potente, y puedes estropear mucho las cosas si no tienes cuidado. Puedes encontrarlo en Applications/Utilities/Terminal .

Además, deberá ser un administrador en su ordenador . Si no tiene privilegios de administrador, la siguiente guía no funcionará.

Por último, probablemente sería un buena idea hacer una copia de seguridad antes de empezar por si acaso algo va mal.

Eliminación de los procesos de interferencia

En primer lugar, debemos eliminar los procesos que interfieren en la eliminación de Trend Micro. Según el Guía de desinstalación de TrendMicro hay tres procesos principales que queremos matar (Como nota al margen, es un poco desconcertante que los nombres que utiliza Trend Micro sean tan genéricos. Hace que te preocupe que realmente pertenezcan a algo que quieras conservar):

• iCoreService
• TmLoginMgr
• MainUI

Puede utilizar el comando killall para matar procesos que coinciden por su nombre, pero prefiero encontrar el PID (número de identificación del proceso) asociado a lo que necesito eliminar, y luego emitir kill comandos para esos PID. Podemos encontrar los PIDs asociados para cada cosa listada arriba con un comando de esta forma:

ps -A | grep iCoreService

Cuando introduzca ese comando*, le devolverá una lista de todos los procesos que tienen iCoreService en algún lugar de su nombre. Cada proceso tendrá un número al frente: es el PID. Tome nota de esos números. ( Nota: Su grep será uno de los procesos que se devuelven -- puedes ignorarlo, pero tampoco pasará nada malo si intentas matarlo).

_{*: Si no te gusta que te digan que introduzcas comandos de terminal al azar, ¡bien por ti! Esto es lo que hace cada parte: "ps -A" lista todos los procesos que se están ejecutando actualmente; "|" canaliza esa información al siguiente comando (en otras palabras, esa información se pasa a la siguiente parte); "grep" busca coincidencias con lo que se le da, en este caso 'iCoreService'. En total, estamos sacando todos los procesos que tienen 'iCoreService' en el nombre.}

Ahora vamos a matar cada uno de esos procesos. Usa este comando, ejecutándolo para cada PID que acabas de encontrar:

kill NUMBER_GOES_HERE

(Por ejemplo, se escribiría algo como kill 1253 pero utilizando los números que surgieron del comando anterior).

En este punto, debería decirte que no tienes los permisos para hacer eso - tienes que demostrar que realmente eres un administrador y se te debería permitir. Emita el mismo comando, pero ahora con sudo en el frente:

sudo kill NUMBER_GOES_HERE

El terminal le pedirá su contraseña. Introdúcela, pulsa enter y ya está, el proceso debería desaparecer ahora.

_{¿Qué pasa con este comando? "sudo" significa Super User Do, básicamente forzando al ordenador a hacer lo que tú quieres porque eres el administrador; "kill" emite una señal para terminar el proceso con el número PID que pases después.}

Cuando hice esto, obtuve un total de 4 procesos asociados con iCoreService . Una vez que hayas eliminado esa, recuerda que también tendrás que hacerlo para TmLoginMgr (Tengo 1 proceso aquí) y para MainUI (Yo tenía 0 procesos aquí, pero es posible que se debiera a un intento de eliminación anterior por parte de otra persona).

¡Genial! ¡Ahora que los escudos del jefe han caído, podemos atacar!

Eliminación de archivos de Trend Micro

Ahora es el momento de eliminar realmente los archivos asociados al antivirus.

Aquí está el lista de directorios (carpetas) que queremos eliminar :

/System/Library/TrendMicro
/Library/StartupItems/iCoreService
/Applications/MainUI.app
/Library/Application Support/TrendMicro
/Library/Frameworks/TMAppCommon.framework/
/Library/Frameworks/TMAppCore.framework/
/Library/Frameworks/TMGUIUtil.framework/
/Library/Frameworks/iCoreClient.framework/
/Library/Frameworks/iCoreClientPb.framework/

[ Nota: Cuando hice esto, no pude encontrar todas las carpetas. Es posible que algunas hayan desaparecido debido a un intento de eliminación anterior por parte de otra persona. También puede ser debido a que los documentos de desinstalación de Trend Micro tienen más de cuatro años... Las carpetas específicas que no pude encontrar fueron las tres primeras de la lista anterior. Pero si existen en su instalación, debería eliminarlos. ]

Para eliminar cada uno de ellos, utilice este comando:

rm -rf "FULL_PATH_IN_QUOTES_GOES_HERE"

En otras palabras, debe copiar cada línea de la lista anterior y ejecutarla así:
rm -rf "/Library/Application Support/TrendMicro" . (Las comillas son realmente importantes para la carpeta con 'Application Support' en su ruta debido al espacio, otros directorios no lo necesitan, pero no está de más seguir ese patrón para cada uno). Puede que algunas de las carpetas no existan, no pasa nada.

_{Más que cualquier otro comando, este es el que necesita ser <strong>muy cuidadoso </strong>con. "rm" es el comando para eliminar (borrar) cosas; "-rf" le dice que borre carpetas y que recurra hacia abajo (borre carpetas dentro de carpetas y así hacia abajo); las comillas dobles aseguran que las rutas con un espacio se borren correctamente.}

Al igual que antes, probablemente te dirá que no tienes los permisos adecuados para hacerlo. Tendrás que elevar con sudo como lo hicimos antes:

sudo rm -rf "FULL_PATH_IN_QUOTES_GOES_HERE"

Hágalo para cada uno de los directorios de la lista de carpetas de Trend Micro a eliminar.

Nota: Tuve muchas dificultades para tratar de eliminar /Library/Application Support/TrendMicro . Incluso con sudo Pero aún así, recibí el mensaje "Permiso denegado". Por suerte, comprobé que todos los procesos de la parte 1 seguían muertos (otro ps -A | grep iCoreService ): no, iCoreService había vuelto. He jugado kill un par de veces más, matando sus nuevos PIDs, y luego trató de emitir muy rápidamente el rm -rf "/Library/Application Support/TrendMicro" después de haber matado a todos esos procesos y finalmente conseguir que funcione. Creo que algo estaba respawning esos procesos, por lo que era una cuestión de tiempo para noquearlos y eliminar esos archivos antes de que volvieran. (Una vez que ese directorio desaparecía, no volvían a aparecer).

Por último, ahora podemos eliminar la aplicación "Trend Micro Security Agent" de nuestra carpeta de aplicaciones. Puedes hacerlo en el buscador (navega hasta ella en el buscador, haz clic con el botón derecho, muévela a la papelera [te pedirá la contraseña]) o puedes hacerlo a través del Terminal si te sientes cómodo con ello.

Bonificación: Eliminación de los procesos de puesta en marcha

En este punto, hemos eliminado prácticamente todo el antivirus de Trend Micro, pero todavía hay algunas cosas de inicio que deberíamos arrancar. Ejecuta esto:

launchctl unload /Library/LaunchDaemons/com.trendmicro.icore.av.plist

_{"launchctl" es una utilidad para interactuar con 'launchd', una utilidad que gestiona otros procesos; "unload" le dice a 'launchctl' que desactive los procesos asociados a lo que le pases a continuación; el "/Library/LaunchDaemons/com.trendmicro.icore.av.plist" es lo que estás descargando.}

Ahora elimine los archivos launchdaemon y launchagent que invocan los procesos asociados a Trend Micro en el momento del arranque:

rm /Library/LaunchDaemons/com.trendmicro.*
rm /Library/LaunchAgents/com.trendmicro.*

_{"rm" es el mismo comando de remoción (borrado) que antes; "/Library/LaunchDaemons/com.trendmicro." le dice que borre todos los archivos en esa ruta con esa estructura inicial, el significa que cualquier cosa que coincida hasta ese punto será borrada.}

[ Nota: Es posible que esto ocurra antes en los pasos. No estoy seguro de la causa del iCoreService procesos para volver, si hubiera hecho la descarga antes podría haber hecho la eliminación real en la parte 2 más directa sin necesidad de volver a emitir kill s en iCoreService procesos. Si lo pruebas así y funciona mejor, ¡deja un comentario! ]

¡Y hemos terminado!

¡Uf! En este punto, Trend Micro debería estar completamente desinstalado. Reinicie su ordenador para asegurarse de que todo sigue funcionando bien y de que Trend Micro realmente ha desaparecido.

Otras notas

• Esto fue básicamente improvisado a partir de la guía de Trend Micro vinculada cerca de la parte superior y esto otro desinstalar script Lo he encontrado.

• La guía de desinstalación de Trend Micro dice que hay que ejecutar /Library/Application\ Support/TrendMicro/TmccMac/TmLoginMgr.app/Contents/MacOS/TmLoginMgr -u pero cuando lo hice me salió este "LoginItem(/Library/Application Support/TrendMicro/TmccMac/TmLoginMgr.app) ya ha sido eliminado": podría ser de un intento anterior de eliminar Trend Micro, pero también podría haber sido otra cosa. Es posible que quiera incluirlo cuando intente desinstalar, por si acaso, pero también podría ser inútil.

• De hecho, asumí root usuario ( utilizando sudo su ) para hacer mucho de esto cuando me quedé atascado tratando de eliminar /Library/Application Support/TrendMicro . En retrospectiva, no creo que fuera realmente necesario, sólo se debió a esos iCoreService los procesos infantiles bloquean las cosas, pero si tienes problemas, inténtalo.

• Incluí la eliminación de /Library/Frameworks/iCoreClientPb.framework/ pero no se menciona en ninguna de las dos guías de desinstalación que he enlazado. Estoy casi seguro de que es parte de Trend Micro, pero advertencia lector .

Aquí, hice una versión de script de bash de lo que @Erdos-Bacon y @IconDaemon armaron arriba (más fácil de copiar y pegar, también, antes de ejecutar, conviértete en un superusuario, es decir, ejecuta su, y después de que hayas terminado, sale del modo de superusuario ejecutando exit):

# obtener todos los IDs de proceso (PIDs) asociados con Trend Micro
pids=$(ps -A | grep iCoreService | ag -o '\d{3,4}(?=\s[\?t])')

# construir un array de todos los archivos asociados con Trend Micro
trend_micro_files=(\
  '/System/Library/TrendMicro' \
  '/Library/StartupItems/iCoreService' \
  '/Applications/MainUI.app' \
  '/Library/Application Support/TrendMicro' \
  '/Library/Frameworks/TMAppCommon.framework/' \
  '/Library/Frameworks/TMAppCore.framework/' \
  '/Library/Frameworks/TMGUIUtil.framework/' \
  '/Library/Frameworks/iCoreClient.framework/' \
  '/Library/Frameworks/iCoreClientPb.framework/' \
)

# recorrer todos los procesos de Trend Micro y MATARLOS TODOS
for pid in ${pids[@]}; do
  sudo kill $pid
done;

# recorrer todos los archivos de Trend Micro y ELIMINARLOS TODOS
for f in ${trend_micro_files[@]}; do
  sudo rm -rf $f
done;

# eliminar los lanzadores de Trend Micro (para que no vuelva a iniciar en el reinicio)
launchctl unload /Library/LaunchDaemons/com.trendmicro.icore.av.plist
sudo rm /Library/LaunchDaemons/com.trendmicro.*
sudo rm /Library/LaunchAgents/com.trendmicro.*

¡Gracias Erdos-Bacon por hacer ese trabajo! Tu intuición es correcta de que tus problemas con los procesos que regresaban eran porque los launch daemons no se habían descargado. Tomé tu trabajo y cambié el orden, resultando en un script más corto (debe ejecutarse con sudo):

#!/bin/bash

set -e

launchctl unload /Library/LaunchDaemons/com.trendmicro.* /Library/LaunchAgents/com.trendmicro.*

rm -rf /Library/LaunchDaemons/com.trendmicro.* /Library/LaunchAgents/com.trendmicro.* \
  /System/Library/TrendMicro /Library/StartupItems/iCoreService /Applications/MainUI.app \
  /Library/Application\ Support/TrendMicro /Library/Frameworks/TMAppCommon.framework/ \
  /Library/Frameworks/TMAppCore.framework/ /Library/Frameworks/TMGUIUtil.framework/ \
  /Library/Frameworks/iCoreClient.framework/ /Library/Frameworks/iCoreClientPb.framework/

Tampoco obtuve tus errores sobre directorios faltantes cuando eliminé; así que asumo que faltaban porque la ejecución fallida previa del desinstalador de TM las había eliminado, como sospechabas.

Observo que el elemento de la barra de menú sigue ahí hasta después de un reinicio. No estoy seguro de si hay alguna forma de eliminarlo sin reiniciar. A diferencia de ti, estoy "bendecido" con muchas máquinas infectadas con este malware, así que tengo más oportunidades para probar si alguien tiene más sugerencias.