Загрузиться с какого-нибудь live-cd линукса, прогнать chkrootkit или rkhunter. Вполне возможно, что найдется "зверек", но просто так найти и вручную вычистить руткит мало - не просто так же он попал на компьютер. Скорее всего где-то есть дырка, через которую он проник. Чаще всего этой дыркой являются простые или скомпроментированные пароли. Так что, по-моему, нужное забекапить и переустановив систему выстроить более-менее правильно систему защиты. Например, не давать кому попало доступ по ssh, перевести тот же ssh на нестандартный порт, запретить руту ходить по ssh, не давать всем поголовно sudo (если используется) и так далее и тому подобное.
