Enquanto você está correto se um sistema teve o código malicioso em execução no geral, agora ele está comprometido e precisa ser apagado. É possível que o malware ultrapasse uma única instalação, mas não é muito provável.
Você também pode executar debsums para validar a integridade do pacote. É possível que um invasor se adicione ao seu /etc/apt/sources.list e arquivos semelhantes para que essas assinaturas sejam "válidas", mas improváveis.
Caso contrário, o código também pode ser incluído como um "override" binário em algum lugar como /usr/local/bin/gnome-login-manager ou similar, permitindo que eles injetem seu código quando esse programa for usado.
Um módulo do kernel também pode ter sido instalado, o que faz o malware. Também pode ser uma extensão do Chrome.