Se o seu sistema foi comprometido no nível da raiz, o atacante pode ocultar um keylogger de qualquer coisa que você tente detectá-lo - ligando em um módulo de kernel personalizado que intercepta as chamadas do sistema que podem levar à sua detecção no kernel nível.
Se é isso que você suspeita ter acontecido, sua única maneira de ter certeza de encontrá-lo é arrancar a partir de uma imagem segura de um CD ao vivo e procurar manualmente por algo suspeito ou fora do lugar. Softwares como o chkrootkit e o debsums (o último somente aplicável para distros baseadas no Debian, obviamente) ajudarão.