Finalmente he optado por actualizar a la 6.2 y eliminarlo de raiz.
Tenia activado y bien configurado el firewall. SSH solo en local, y servicios recortados solamente a ip's españolas.
He visto que el malware se metia en el programador de tareas como proceso. Consegui pillar un archivo que mandaba codigo malicioso desde un subdominio de ngrok.io pero al parecer habia mas cosas de por medio.
Lo dicho, por falta de tiempo para investigar, voy a formatear, dado que encima voy a meter una interfaz de red mas que me llega hoy