первые буквы некоторых слов иногда пропадают

Это из-за обработки бэкслэша. В Windows он является разделителем пути.

начинает писать строку с буквы ‘r’

Это из за CRLF. В Windows строка заканчивается на \n\r, в UNIX всегда \n, вот и остаётся хвост с предыдущей строки.

rkhunter что-нибудь говорит?

Выберет сеть.

Смотри подозрительные процессы

htop, ps, lsof

Смотри открытые порты и ищи бекдор:

netstat -pln

Что за клавиатура-то и где покупал?

В DNS-Shop или М.видео ?

Вот, теперь я знаю кому нужны «попсовые» антивирусы на linux.

Вообще сидеть вот так с гадостью нельзя. Раз гадость виндовая, то из live надо отрубить монтирование виндовых дисков, шар, спрятать все потрох вайна. И только потом лезть эксперимент ировать по отлову (как ловить анонимус выше сказал). Ну или воспользоваться триалом юзер-френди антивируса, можно с live – многие собирают как раз для таких случаев (гугли «live-usb антивирус»).

А откуда у тебя соединение из Таиланда к x0vncserver?

asking the right questions…

начинает писать строку с буквы ‘r’ (rcmd.exe)

Это <Win+R>

ТС, что генерирует-то эти символы? на каких ОС это проявляется? ниче не понятно

ТС, что генерирует-то эти символы?

Так ТС и спрашивает нас – «что это?».

Ну так пусть проведет базовый анализ сначала что ли - софт это, железо, /dev/uinput, xtest - что? мы по скриншоту должны угадать что ли? телепаты в отпуске.

он даже не осилил сказать, на каких ОС он это наблюдает

Да достаточно поискать в htop что там wine запустил, ну и кто в сеть ломится (netstat-ом хотя бы). Почти уверен что этого достаточно, «оно» скорее всего простой загрузчик, настоящего зловреда не получается поселить – cmd.exe то нету)

он даже не осилил сказать, на каких ОС он это наблюдает

Он сказал: «дуалбут винды и линукс». Ни кто не виноват что ubuntu синоним linux-а. Тег стоит, кстати.

Он сказал: «дуалбут винды и линукс».

и не сказал, на каких из них это наблюдает. только по скрину можно догадаться, что как минимум на втором.

Новые USB-устройства подключал? Клавиатура или мышь беспроводная? Подключал ли какие-нибудь устройства через Bluetooth?

Ставлю на vnc.

Где ты его узрел? Я слепой (спать наверное пора).

В netstat же висит.

Ага, я проглядел эту ссылку, спасибо.

Илюша, у тебя там wsl что-ли?

это Добби балует, подари ему носок

В какой момент это происходит? Вот ты включил, загрузился локально и вот такая хренотень творится на нем, я правильно понял, не внутри wine, а в линуксовых терминалах?

Штукенция явно виндовая и на линуксы не рассчитанная даже в теории, иначе бы не глючило тупо с /r /n однако же гадит из под него. Если я что-то понимаю, то wine даже заразившись чем-то виндовым не пакостил бы везде где попало. Хотя может я не правильно понимаю.

У тебя прямо или косвенно (в составе какой-то проги) не поднят ли веб-сервер с какими-нибудь скриптами на твоем компе? Я к тому, что могли заразить дырявые скрипты на дырявом сервере, но троян/вирус был разработан на виндовую конфигурацию.

Для начала бы я все-таки снес wine и посмотрел что будет. Ну и если сервер запущенный есть, то скорее всего в нем причина.

Варианты с клавиатурой с хардварным шпиoном не то, чтобы совсем невозможны, но по-моему крайне маловероятны по сравнению с дырой в ОС или серваке или в какой-то программе etc.

BadUSB, скрипты в твоём IDE, проприетарщина из панели, выбирай.

если браузер открыт то может какой плагин сутулый?
без браузера такое проявляется?

и поддерживаю всех на счет прог запущенных через wine.

и еще увидил mono-sgen прогу в нетстате...
https://docs.microsoft.com/ru-ru/dotnet/standard/serialization/xml-serializer...
тут указано чо енто инородное линуксу)))

Это не сидящая малварь, а атакующий (необязательно человек, возможно программа, или связка скриптов), насканивший айпишник с открытым портом и пытающийся закрепиться в системе.

Присоединюсь к уже озвученному мнению — скорее всего это vnc.

Малварь кто–нить скачал? А то там уже 404 по всем ссылкам. Либо оно отдаётся только на тот айпишник, на который идёт атака — автор, просьба скачать и выложить в запароленном архиве, интересно поглядеть.

Что за клавиатура-то и где покупал?
В DNS-Shop или М.видео ?

А ведь мог бы взять на барахолке кондовую клаву весом около килограмма и это без значка Шиндоуз.

А со значком какие претензии могут быть? Обычный plug анд play.