Depende do nível de confiança desejado para o sistema.
Do lado otimista:
Se tudo acontecer realmente como você diz. Eu não posso dizer que esse sistema está comprometido. Mais correto acesso indesejado. Quanto mais tempo o intruso não puder obter acesso root ou outro usuário privilegiado.
No mínimo, você faz tudo certo.
lado pessimista:
Se você suspeitar e temer que um intruso faça escalonamento de permissão (explorando alguma vulnerabilidade) e instale algum tipo de rootkit.
Qualquer auditoria sob controle do sistema potencialmente comprometido tem uma confiança muito pequena. É só esperar por "bugs" no rootkit que impedem que ele se esconda perfeitamente.
É melhor concluir a reinstalação do sistema ou fazer a auditoria (por comparação com o backup ou verificar ou reinstalar pacotes pelo gerenciador de pacotes) ao inicializar do sistema confiável em mídia inicializável externa ou conectando a unidade ao sistema confiável.
Desta forma, espero que você receba conselhos mais detalhados.
lado paranóico
Se o root estiver comprometido, até o BIOS ou o gerenciamento integrado, como o IME, podem ser controlados para instalar novamente o rootkit em um novo sistema.