Não há nada como início automático padrão de um dispositivo removível nos DEs que conheço. Assim, o único código malicioso executado seria um bug no sistema de arquivos (improvável) e bugs nos aplicativos usados para abrir os arquivos. Eu procuraria por problemas de segurança conhecidos nos programas usados (como o LibreOffice, etc). Onde encontrar estes depende do programa e da distribuição.
Outra ideia, desde que você só usasse o stick e abrisse os arquivos apenas com permissões de usuário e não root, eu copiaria todos os arquivos com root que só são payload (como documentos, fotos, músicas etc.) para outro local, vazio o diretório inicial, copie / etc / skel / * para ele, mova os dados salvos de volta e inicie novamente com um diretório inicial "limpo".
Ser meio paranóico com a segurança não é totalmente errado, mas, de fato, uma instalação atualizada do linux deve estar bem, quando nenhum binário / script do bastão for executado.
Como o jofel apontou, pode haver um problema com um firmware malicioso no bastão. Você deve ver se há alguma sugestão no syslog (e no dmesg? Não tenho certeza) para dispositivos usb conectados que não sejam drives usb.
Agora, existe a possibilidade de que a unidade tenha instalado um keylogger ou um su / sudo malicioso e você deseje obter acesso root em seu DE (digitou sua senha raiz em um ambiente de usuário) e seus logs foram alterados. Quando o dispositivo tiver a chance de obter permissão de root, não há outra maneira de reinstalar a segurança.