Nach jedem PC Start ein file.gzip in /home/username/

Hallo liebe Manjaro Community,

Ich habe jedes mal wenn ich meinen Pc starte ein file.zip in /home/pheiduck/
wenn ich diese lösche > neustarte bleibt sie weg.
Beim ersten Start durch Power Taste taucht file.zip wieder auf.

Was ist das?
Wo kommt das her?
Wie bekomme ich das gefixt?

Infos: Host läuft auf dem Stable Branch

System:
  Kernel: 5.11.10-1-MANJARO x86_64 bits: 64 compiler: gcc v: 10.2.0 
  parameters: BOOT_IMAGE=/@/boot/vmlinuz-5.11-x86_64 
  root=UUID=2858d787-58d2-4b32-bfe2-dcd848223859 rw rootflags=subvol=@ 
  cryptdevice=UUID=ec00de08-393b-4d8c-a1ed-853a4de311ee:cryptroot 
  bootsplash.bootfile=bootsplash-themes/manjaro/bootsplash 
  Desktop: Xfce 4.16.0 tk: Gtk 3.24.24 info: xfce4-panel wm: xfwm4 vt: 7 
  dm: LightDM 1.30.0 Distro: Manjaro Linux base: Arch Linux 
Machine:
  Type: Desktop Mobo: ASUSTeK model: PRIME X570-PRO v: Rev X.0x 
  serial: <filter> UEFI: American Megatrends v: 3603 date: 03/20/2021 
CPU:
  Info: 12-Core model: AMD Ryzen 9 3900X bits: 64 type: MT MCP arch: Zen 2 
  family: 17 (23) model-id: 71 (113) stepping: N/A microcode: 8701021 cache: 
  L2: 6 MiB 
  flags: avx avx2 lm nx pae sse sse2 sse3 sse4_1 sse4_2 sse4a ssse3 svm 
  bogomips: 186928 
  Speed: 3893 MHz min/max: 2200/3900 MHz boost: enabled Core speeds (MHz): 
  1: 3893 2: 3931 3: 3921 4: 3916 5: 3892 6: 3887 7: 3893 8: 3899 9: 3893 
  10: 3900 11: 3927 12: 3892 13: 3913 14: 3921 15: 3898 16: 3900 17: 3873 
  18: 3885 19: 3893 20: 3875 21: 3917 22: 3903 23: 3868 24: 3874 
  Vulnerabilities: Type: itlb_multihit status: Not affected 
  Type: l1tf status: Not affected 
  Type: mds status: Not affected 
  Type: meltdown status: Not affected 
  Type: spec_store_bypass 
  mitigation: Speculative Store Bypass disabled via prctl and seccomp 
  Type: spectre_v1 
  mitigation: usercopy/swapgs barriers and __user pointer sanitization 
  Type: spectre_v2 mitigation: Full AMD retpoline, IBPB: conditional, STIBP: 
  conditional, RSB filling 
  Type: srbds status: Not affected 
  Type: tsx_async_abort status: Not affected 
Graphics:
  Device-1: AMD Navi 10 [Radeon RX 5600 OEM/5600 XT / 5700/5700 XT] 
  vendor: ASUSTeK driver: amdgpu v: kernel bus-ID: 0b:00.0 chip-ID: 1002:731f 
  class-ID: 0300 
  Display: x11 server: X.Org 1.20.10 driver: loaded: amdgpu,ati 
  unloaded: modesetting,radeon alternate: fbdev,vesa display-ID: :0.0 
  screens: 1 
  Screen-1: 0 s-res: 1920x1080 s-dpi: 96 s-size: 508x285mm (20.0x11.2") 
  s-diag: 582mm (22.9") 
  Monitor-1: HDMI-A-0 res: 1920x1080 hz: 60 dpi: 102 
  size: 477x268mm (18.8x10.6") diag: 547mm (21.5") 
  OpenGL: renderer: AMD Radeon RX 5700 XT (NAVI10 DRM 3.40.0 5.11.10-1-MANJARO 
  LLVM 11.1.0) 
  v: 4.6 Mesa 21.0.1 direct render: Yes 
Audio:
  Device-1: AMD Navi 10 HDMI Audio driver: snd_hda_intel v: kernel 
  bus-ID: 0b:00.1 chip-ID: 1002:ab38 class-ID: 0403 
  Device-2: AMD Starship/Matisse HD Audio vendor: ASUSTeK 
  driver: snd_hda_intel v: kernel bus-ID: 0d:00.4 chip-ID: 1022:1487 
  class-ID: 0403 
  Sound Server-1: ALSA v: k5.11.10-1-MANJARO running: yes 
  Sound Server-2: JACK v: 0.125.0 running: no 
  Sound Server-3: PulseAudio v: 14.2 running: yes 
  Sound Server-4: PipeWire v: 0.3.24 running: no 
Network:
  Device-1: Intel I211 Gigabit Network vendor: ASUSTeK driver: igb v: kernel 
  port: f000 bus-ID: 05:00.0 chip-ID: 8086:1539 class-ID: 0200 
  IF: enp5s0 state: up speed: 1000 Mbps duplex: full mac: <filter> 
  IF-ID-1: vmnet1 state: unknown speed: N/A duplex: N/A mac: <filter> 
  IF-ID-2: vmnet8 state: unknown speed: N/A duplex: N/A mac: <filter> 
Bluetooth:
  Device-1: Cambridge Silicon Radio Bluetooth Dongle (HCI mode) type: USB 
  driver: btusb v: 0.8 bus-ID: 1-3:2 chip-ID: 0a12:0001 class-ID: e001 
  Report: This feature requires one of these tools: hciconfig/bt-adapter 
Drives:
  Local Storage: total: 1.82 TiB used: 19.87 GiB (1.1%) 
  SMART Message: Unable to run smartctl. Root privileges required. 
  ID-1: /dev/nvme0n1 maj-min: 259:0 vendor: Samsung model: SSD 970 EVO 500GB 
  size: 465.76 GiB block-size: physical: 512 B logical: 512 B speed: 31.6 Gb/s 
  lanes: 4 rotation: SSD serial: <filter> rev: 2B2QEXE7 temp: 35.9 C 
  scheme: GPT 
  ID-2: /dev/nvme1n1 maj-min: 259:1 vendor: Samsung model: SSD 970 EVO 500GB 
  size: 465.76 GiB block-size: physical: 512 B logical: 512 B speed: 31.6 Gb/s 
  lanes: 4 rotation: SSD serial: <filter> rev: 2B2QEXE7 temp: 20.9 C 
  scheme: GPT 
  ID-3: /dev/sda maj-min: 8:0 type: USB vendor: Seagate 
  model: ST1000LM024 HN-M101MBB size: 931.51 GiB block-size: physical: 512 B 
  logical: 512 B rotation: 5400 rpm serial: <filter> scheme: MBR 
Partition:
  ID-1: / raw-size: 419.26 GiB size: 419.26 GiB (100.00%) 
  used: 19.84 GiB (4.7%) fs: btrfs dev: /dev/dm-0 maj-min: 254:0 
  mapped: cryptroot 
  ID-2: /boot/efi raw-size: 512 MiB size: 511 MiB (99.80%) used: 26 MiB (5.1%) 
  fs: vfat dev: /dev/nvme0n1p1 maj-min: 259:2 
  ID-3: /home raw-size: 419.26 GiB size: 419.26 GiB (100.00%) 
  used: 19.84 GiB (4.7%) fs: btrfs dev: /dev/dm-0 maj-min: 254:0 
  mapped: cryptroot 
Swap:
  Alert: No Swap data was found. 
Sensors:
  System Temperatures: cpu: 47.6 C mobo: N/A gpu: amdgpu temp: 34.0 C 
  mem: 36.0 C 
  Fan Speeds (RPM): N/A gpu: amdgpu fan: 0 
Info:
  Processes: 446 Uptime: 10m wakeups: 0 Memory: 31.33 GiB 
  used: 3.62 GiB (11.5%) Init: systemd v: 247 tool: systemctl Compilers: 
  gcc: 10.2.0 Packages: 1288 pacman: 1284 lib: 400 flatpak: 4 Shell: Zsh 
  v: 5.8 running-in: xfce4-terminal inxi: 3.3.03 

Ja Mahlzeit,

Was sagt den das Journal?

journalctl | grep file.zip
oder
journalctl | grep zip

Etwas im Autostart, was dort nicht hingehört?

ls -al ~/.config/autostart/

Mal versucht die Datei zu kopieren, anderen Ort einfügen und zu entpacken? Etwas drin?
Kannst du uns mehr Details zur Datei file.zip selbst sagen? Besitzer? Ersteller? Größe? usw…

$ ls -al ~/.config/autostart/                                     
insgesamt 32
drwxr-xr-x 1 pheiduck pheiduck 416 16. Apr 20:42 .
drwxr-xr-x 1 pheiduck pheiduck 794  3. Apr 21:02 ..
-rw-r--r-- 1 pheiduck pheiduck 207  7. Dez 21:11 remmina-applet.desktop
-rw-r--r-- 1 pheiduck pheiduck 191 11. Aug 2020  xcape.desktop
-rw-r--r-- 1 pheiduck pheiduck  70 16. Apr 20:42 xfce4-clipman-plugin-autostart.desktop
-rw-r--r-- 1 pheiduck pheiduck  29 11. Aug 2020  xfce4-settings-helper-autostart.desktop
-rw-r--r-- 1 pheiduck pheiduck  29 11. Aug 2020  xfce4-tips-autostart.desktop
-rwxr-xr-x 1 pheiduck pheiduck 209 11. Aug 2020  xfce-panel-workaround.desktop
-rwxr-xr-x 1 pheiduck pheiduck 107 11. Aug 2020  xfce-pbw.sh
-rw-r--r-- 1 pheiduck pheiduck  28 11. Aug 2020  xfconf-migration-4.6.desktop

Ah ich hab den übeltäter gefunden, war Skype aus dem AUR.:
https://aur.archlinux.org/packages/skypeforlinux-stable-bin/

Trotzdem danke @Lila-Kuh

das file ist von root Ersteller und Besitzer. ist 166kb groß.

Es kommt übrigens wieder liegt also nicht an skype
letzteres könnte es an.:
https://aur.archlinux.org/packages/visual-studio-code-bin

liegen

Was ist denn in dem .zip enthalten? Einfach mal reinschauen was drin ist. Anhand dessen kann man vielleicht ableiten wovon es erstellt wird.

Das scheint eine Binary Datei zu sein übrigens eine .gzip ich habe jetzt auch mal visual-studio-code-bin deinstalliert und code aus der offiziellen Repo installiert

Wieso sollte vscode so ein file erstellen auch noch als root . Ich habe auch vscode installiert. Bei mir gibt’s das file nicht.

Was heisst das. In dem file.zip ist noch ein archiv .gzip?
Was sagt file. Wenn es ein executable ist würde ich mal strings drüber laufen lassen (und das ding parallel bei virustotal hochladen )

Ich meine es ist ein .gzip anstelle ein .zip

Aber ich muss das mal weiter beobachten.

Jetzt ist das Ding erstmal weg.

Bin mir nicht sicher ob Skype oder vscode dran schuld sind… zumal hatte ich die zuletzt mal aktualisiert.

Könnte ja mal Clamav drüber jagen, wenn sie wieder da ist

Mir ist etwas ähnliches passiert:

Ort: ~
Name: file
Typ: gzip
Größe: 166,4KiB
Ersteller: root

Enthält mehrere Dutzend Ordner die Namen von installierten Packeten tragen. In den Ordners sind lediglich “desc” text Dateien, die die Packetinfo zum entsprechenden Packet haben.

Habe am 11.04. das Update vom 09.04. installiert. Der letzte Hook des Durchlaufts in Pacman.log war update-vlc-plugin-cache.hookgestartet um 16:32:44. Die “file”-Datei wurde 16:33:15 erstellt. Ich würde also vermuten, dass der Vlc-hook dafür verantwortlich ist.
Bei einem andern System ohne Vlc ist “file” tatsächlich nicht aufgetaucht.

Auch hier würde ich das journal nutzen

z.b. journalctl | grep gzip
oder journalctl | grep file.gzip

Ich werfe auch mal sudo dmesg in die Glaskugel.

VLC habe ich überall installiert und aktuell keine Device hat ~/file.gzip

Ich habe es glaube gelöst durch das deinstallieren von Skype und vscode aus dem AUR

Wage ich auch zu bezweifeln, das es VLC ist, der die Datei erstellt. Ich habe es installiert aber bisher nicht in Verwendung gehabt

Jetzt leider zu spät, aber beim nächsten Mal

pacman -Qo {Dateiname}

eingeben, das könnte die zugehörige Applikation auflisten.

Jetzt bin ich etwas verwirrt.:

Ist wohl ein allgemeines Problem, jeder hat ja nicht die gleiche Software / Anwendungen installiert.

Der Name ist nur “file”.
Typ ist gzip.

Laut
journalctl | grep "Apr 11 16:33:"
habe ich 2 sec vor Erstellung von “file” pacman-mirrors ausgeführt. (Diese Version von pacman-mirrors hatte einige Fehler produziert, wenn ich mich richtig erinnere).
Genau zum Zeitpunkt 16:33:15 ist nur noch das im Journal und dann eine Minute lang nichts (Die Datei “file” tauch nirgends auf):

Apr 11 16:33:15 user-manjaro kernel: nf_conntrack: default automatic helper assignment has been turned off for security reasons and CT-based  firewall rule not found. Use the iptables CT target to attach helpers instead.
Apr 11 16:33:15 user-manjaro baloo_file_extractor[21724]: kf.baloo: Not busy, fast indexing

Hier taucht es auch nochmal auf

Hast du das file noch? Dann schau doch mal bitte rein was überhaupt in dem Archiv drin ist.

Bei pheiduck: siehe oben ; Wobei Ark z.B. den Inhalt bei .gz nicht anzeigen kann, nur bei .tar.gz .
Vllt mal bsdtar -xf file um zu schauen, ob es tatsächlich binary ist.

Bei mir: siehe oben

Hmm. Hört sich nach einem .db file (pacman) an.