Aviso: não é um especialista, é o que eu faria.
- comece desconectando seu laptop da internet
- ligar
- verifique todas as portas abertas com
nmap -PN 127.0.0.1
(e feche-as mais tarde, se não estiver ativado) - veja quais serviços / aplicativos estão usando portas com
sudo netstat -tulpn
- verifique quais serviços estão executando no início
com essa informação, vou começar a procurar por algo suspeito.
Você pode dar uma olhada no rkhunter.
Se for apenas sua conta que está comprometida (e não a conta root), tentarei criar uma nova com acesso sudo e trabalhar o processo a partir dali.