Você pode começar a encontrar o executável usando o comando abaixo
ls -l / proc // exe
Então você pode encontrar quem o criou (o PID pai) com o comando abaixo
ps -p -o ppid =: wq
E pesquise até encontrar o ponto de partida.
Você também pode verificar os pontos de execução automáticos comuns, como scripts de inicialização, tarefas cron globais e específicas do usuário, em scripts, arquivos rc.local. adicionando mais 1 coisa pls check google existem muitos post sobre o mesmo