A questão está nessas duas linhas, certo?
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:
/usr/lib/debug/.build-id /usr/lib/pymodules/python2.7/.path /usr/lib/jvm/.java-1.8.0-openjdk-amd64.jinfo /usr/lib/jvm/.java-7-oracle.jinfo /usr/lib/jvm/java-7-oracle/lib/visualvm/profiler/.lastModified /usr/lib/jvm/java-7-oracle/lib/visualvm/visualvm/.lastModified /usr/lib/jvm/java-7-oracle/lib/visualvm/platform/.lastModified /usr/lib/jvm/java-7-oracle/lib/missioncontrol/.eclipseproduct /usr/lib/jvm/java-7-oracle/lib/missioncontrol/p2/org.eclipse.equinox.p2.engine/profileRegistry/JMC.profile/.data /usr/lib/jvm/java-7-oracle/lib/missioncontrol/p2/org.eclipse.equinox.p2.engine/profileRegistry/JMC.profile/.lock /usr/lib/jvm/java-7-oracle/lib/missioncontrol/p2/org.eclipse.equinox.p2.engine/.settings /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /lib/modules/4.4.0-38-generic/vdso/.build-id /lib/modules/4.4.0-43-generic/vdso/.build-id /lib/modules/4.4.0-36-generic/vdso/.build-id /lib/modules/4.4.0-34-generic/vdso/.build-id /lib/modules/4.4.0-42-generic/vdso/.build-id
/usr/lib/debug/.build-id /usr/lib/jvm/java-7-oracle/lib/missioncontrol/p2/org.eclipse.equinox.p2.engine/profileRegistry/JMC.profile/.data /usr/lib/jvm/java-7-oracle/lib/missioncontrol/p2/org.eclipse.equinox.p2.engine/.settings /lib/modules/4.4.0-38-generic/vdso/.build-id /lib/modules/4.4.0-43-generic/vdso/.build-id /lib/modules/4.4.0-36-generic/vdso/.build-id /lib/modules/4.4.0-34-generic/vdso/.build-id /lib/modules/4.4.0-42-generic/vdso/.build-id
Estou apostando 100 por 1 que não há nada aí.
Note que a mensagem do chkrootkit diz "suspicious" e não "infected", isto é, "suspeito", mas não literalmente "infectado".
Por que suspeito?
O chkrootkit só olha para as assinaturas, ele não verifica a presença de arquivos rootkit conhecidos, tornando-se propenso a falsos positivos. Java é notória para desencadear estes falsos positivos, assim como muitas outras ferramentas de programação.
Aliás, todo e qualquer software, incluindo e principalmente navegadores, que olhe para java sempre o estará fazendo de forma suspeita, pois java é o campeão nisso.
Entretanto, vejo que você está usando o Cinnamon.
System: Host: Rafael-desktop Kernel: 4.4.0-38-generic x86_64 (64 bit gcc: 5.4.0)
Desktop: Cinnamon 3.0.7 (Gtk 3.18.9-1ubuntu3.1)
Distro: Ubuntu 16.04 xenial
Que Cinnamon é esse?
É instalado a partir do site do Mint ou é uma ppa?
Digo isso porque o site do Mint havia sido invadido em 20 de fevereiro deste ano, 2016, e então os arquivos iso foram adulterados.
Mas se fez a lição de casa ao baixar e instalar, conferindo o MD5 do iso, então não haveria risco.
As assinaturas válidas são essas:
6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso
O arquivo adulterado produto da invasão estava em:
/var/lib/man.cy
O seu Cinnamon é Linux Mint Cinnamon?
De quando é o download do iso, é de 20/02/2016?