Nach jedem PC Start ein file.gzip in /home/username/

Was ist denn in dem .zip enthalten? Einfach mal reinschauen was drin ist. Anhand dessen kann man vielleicht ableiten wovon es erstellt wird. :man_shrugging:

1 Like

Das scheint eine Binary Datei zu sein übrigens eine .gzip ich habe jetzt auch mal visual-studio-code-bin deinstalliert und code aus der offiziellen Repo installiert

Wieso sollte vscode so ein file erstellen auch noch als root :thinking:. Ich habe auch vscode installiert. Bei mir gibt’s das file nicht.

Was heisst das. In dem file.zip ist noch ein archiv .gzip?
Was sagt file. Wenn es ein executable ist würde ich mal strings drüber laufen lassen (und das ding parallel bei virustotal hochladen :wink: )

Ich meine es ist ein .gzip anstelle ein .zip

Aber ich muss das mal weiter beobachten.

Jetzt ist das Ding erstmal weg.

Bin mir nicht sicher ob Skype oder vscode dran schuld sind… zumal hatte ich die zuletzt mal aktualisiert.

Könnte ja mal Clamav drüber jagen, wenn sie wieder da ist

Mir ist etwas ähnliches passiert:

Ort: ~
Name: file
Typ: gzip
Größe: 166,4KiB
Ersteller: root

Enthält mehrere Dutzend Ordner die Namen von installierten Packeten tragen. In den Ordners sind lediglich “desc” text Dateien, die die Packetinfo zum entsprechenden Packet haben.

Habe am 11.04. das Update vom 09.04. installiert. Der letzte Hook des Durchlaufts in Pacman.log war update-vlc-plugin-cache.hookgestartet um 16:32:44. Die “file”-Datei wurde 16:33:15 erstellt. Ich würde also vermuten, dass der Vlc-hook dafür verantwortlich ist.
Bei einem andern System ohne Vlc ist “file” tatsächlich nicht aufgetaucht.

Auch hier würde ich das journal nutzen

z.b. journalctl | grep gzip
oder journalctl | grep file.gzip

Ich werfe auch mal sudo dmesg in die Glaskugel.

VLC habe ich überall installiert und aktuell keine Device hat ~/file.gzip

Ich habe es glaube gelöst durch das deinstallieren von Skype und vscode aus dem AUR

Wage ich auch zu bezweifeln, das es VLC ist, der die Datei erstellt. Ich habe es installiert aber bisher nicht in Verwendung gehabt

Jetzt leider zu spät, aber beim nächsten Mal

pacman -Qo {Dateiname}

eingeben, das könnte die zugehörige Applikation auflisten.

2 Likes

Jetzt bin ich etwas verwirrt.:

Ist wohl ein allgemeines Problem, jeder hat ja nicht die gleiche Software / Anwendungen installiert.

Der Name ist nur “file”.
Typ ist gzip.

Laut
journalctl | grep "Apr 11 16:33:"
habe ich 2 sec vor Erstellung von “file” pacman-mirrors ausgeführt. (Diese Version von pacman-mirrors hatte einige Fehler produziert, wenn ich mich richtig erinnere).
Genau zum Zeitpunkt 16:33:15 ist nur noch das im Journal und dann eine Minute lang nichts (Die Datei “file” tauch nirgends auf):

Apr 11 16:33:15 user-manjaro kernel: nf_conntrack: default automatic helper assignment has been turned off for security reasons and CT-based  firewall rule not found. Use the iptables CT target to attach helpers instead.
Apr 11 16:33:15 user-manjaro baloo_file_extractor[21724]: kf.baloo: Not busy, fast indexing

Hier taucht es auch nochmal auf

Hast du das file noch? Dann schau doch mal bitte rein was überhaupt in dem Archiv drin ist.

Bei pheiduck: siehe oben ; Wobei Ark z.B. den Inhalt bei .gz nicht anzeigen kann, nur bei .tar.gz .
Vllt mal bsdtar -xf file um zu schauen, ob es tatsächlich binary ist.

Bei mir: siehe oben

Hmm. Hört sich nach einem .db file (pacman) an.

pacman und pacman-mirrors waren laut log die einzigen Befehle die ich zu dem Zeitpunkt als root ausgeführt habe (in ~). Also ja, scheint irgendwie damit zu tun zu haben.

@KesLE6 @pheiduck

Ist von pacman-mirrors:

Ist wohl durch rumtesten :roll_eyes: mit in das repo gewandert.

2 Likes

Ich habe diese File übrigens auch, aber habe nichts aus dem AUR bei mir installiert, daran sollte es also nicht liegen.

Ist von pacman-mirrors. Siehe post über deinem :wink:

1 Like

Was ein Aufwand :smiley:

Habe übrigens “Protocols = https” in /etc/pacman-mirrors.conf, also passiert wohl nicht nur bei ftp.