it-swarm.com.de

Ordner für chinesische Zeichen, der beim Start erstellt wird

Ich renne:

No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 16.04.1 LTS
Release:    16.04
Codename:   xenial

Ein Ordner mit chinesischen Zeichen wird beim Start im Home-Verzeichnis meines Benutzers erstellt. Heute wurden zwei Ordner erstellt:

drwx------  2 andre andre     4096 Sep 19 07:53 栯浯⽥湡牤⽥挮捡敨眯扥楫⽴捩湯慤慴慢敳뫛ᰌ㏸䖺ᮻ쏫쭴/
drwx------  2 andre andre     4096 Sep 19 07:57 栯浯⽥湡牤⽥挮捡敨眯扥楫⽴捩湯慤慴慢敳뫛疣㕲ᰰ냵調줟/

Beide sind leer.

Ich vermute, dass es ein Virus ist. Ich bin Muschel gelaufen und habe nichts gefunden. Ich habe Rootkit Hunter ausgeführt und nichts gefunden.

Fast alle Suchergebnisse verweisen auf Malware für Windows und darauf, wie Sie sie entfernen können.

pdate:

  • Ich habe festgestellt, dass die Datei /home/andre/.ssh/id_rsa.pub vor zwei Tagen geändert wurde - nicht sicher, ob dies relevant ist
  • Ändern Sie PermitRootLogin prohibit-password in PermitRootLogin no in/etc/ssh/sshd_config

Die folgenden Ergebnisse:

gastgeber:

$ more /etc/hosts
127.0.0.1   localhost
127.0.1.1   Bilskirnir
10.100.0.11 dev2

# The following lines are desirable for IPv6 capable hosts
::1     ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters    

für's Leben:

$ more /etc/profile

if [ "$PS1" ]; then
  if [ "$BASH" ] && [ "$BASH" != "/bin/sh" ]; then
    # The file bash.bashrc already sets the default PS1.
    # PS1='\h:\w\$ '
    if [ -f /etc/bash.bashrc ]; then
      . /etc/bash.bashrc
    fi
  else
    if [ "`id -u`" -eq 0 ]; then
      PS1='# '
    else
      PS1='$ '
    fi
  fi
fi

if [ -d /etc/profile.d ]; then
  for i in /etc/profile.d/*.sh; do
    if [ -r $i ]; then
      . $i
    fi
  done
  unset i
fi

.bashrc Scheint sich nicht geändert zu haben. (Vielleicht zu lang, um hier zu posten)

.bash_logout

more .bash_logout 

if [ "$SHLVL" = 1 ]; then
    [ -x /usr/bin/clear_console ] && /usr/bin/clear_console -q
fi

.Profil

more .profile 

# if running bash
if [ -n "$BASH_VERSION" ]; then
    # include .bashrc if it exists
    if [ -f "$HOME/.bashrc" ]; then
    . "$HOME/.bashrc"
    fi
fi

# set PATH so it includes user's private bin if it exists
if [ -d "$HOME/bin" ] ; then
    PATH="$HOME/bin:/usr/local/glassfish-4.1/bin:$HOME/scripts:/usr/local/netbeans-8.0.2/bin:$PATH"
fi
PATH="$HOME/Apps/TrID:/usr/local/glassfish-4.1/bin:$HOME/scripts:/usr/local/netbeans-8.0.2/bin:$PATH"

Keine unbekannten Browsererweiterungen.

Irgendwelche Ratschläge?

6
TungstenX

Ich habe das gleiche Problem und bin auch ausgeflippt.

Ein Ordner wie der Ihre mit fast denselben Zeichen erschien im Stammverzeichnis meines Hauses

Ich entdeckte, dass es sich bei dem Täter um ein RhythmBox-Plugin handelte, das Coverart-Browse-Plugin in meinem Fall. Sobald ich den Player gestartet habe, erstellt sich dieser Ordner von selbst.

Ich habe gerade das Plugin deinstalliert.

Starten Sie dazu den synaptic package manager, suchen Sie nach rhythmbox und dort sehen Sie alle Plugins, die Sie installiert haben. Wählen Sie das Problem aus und deinstallieren Sie es

sonst Sudo apt-get entfernen rhythmbox-plugin -pluginToRemove

Wenn ich es in Zukunft reparieren kann, werde ich diesen Thread verwenden, um Sie zu informieren.

In Ihrem Fall könnte es sich um eine andere Software handeln, die einen Absturz/einen Warnhinweis in Ihrem privaten Ordner ausgibt.

Prost,

5
Johnny X

Entfernen Sie diese Verzeichnisse mit ...

_rm -rf 栯{tab}
_

(kopiere, füge das erste Zeichen ein und drücke dann {tab} oder ...

_rm -irf *
_

Das -i fordert eine Bestätigung an und gibt ihr für alle anderen Dateien ein N (für Nein) und für diese 2 Verzeichnisse ein Y (für Ja). Seien Sie vorsichtig und drücken Sie nicht Y für etwas, das Sie nicht löschen möchten. Erwägen Sie eine Sicherung mit ...

_tar cvfz /tmp/home.backup.tar.gz /home
_

so können Sie alle fehlerhaften Entfernungen wiederherstellen, die Sie vorgenommen haben.


Zu überprüfende Dateien

_ /etc/hosts
 /etc/profile
 /home/$USER/.bashrc
 /home/$USER/.bash_logout
 /home/$USER/.profile
_

Führen Sie einen _more {file}_ durch und überprüfen Sie visuell, ob diesbezüglich etwas vorhanden ist.

Wenn die ersten beiden Dateien dies enthalten, ist Vorsicht geboten: Dies bedeutet, dass jemand Ihr Administratorkennwort erhalten hat, da diese nur über Sudo bearbeitet werden können.


Überprüfen Sie auch die "statup applications" (aus dem Bindestrich) auf Skripts, die gestartet werden und die Sie nicht selbst hinzugefügt haben. Entfernen Sie es nicht, bevor Sie "Bearbeiten" gewählt haben, und notieren Sie, was beginnt, wenn Sie etwas finden. Entfernen Sie den Eintrag und dann auch das Skript, das gestartet wird. Poste es in deine Frage, wenn du etwas findest. Das würde wahrscheinlich helfen, andere verwandte Dateien zu identifizieren.


Überprüfen Sie auch die Erweiterungen. Nach dem Entfernen dieser 2 ohne Verwendung eines Browsers: Starten Sie neu und überprüfen Sie, ob sie erneut angezeigt werden. In diesem Fall handelt es sich wahrscheinlich nicht um eine Browsererweiterung. Starten Sie 1 Browser und prüfen Sie, ob diese erneut angezeigt werden. Schließen Sie es dann und starten Sie einen anderen Browser, den Sie normalerweise verwenden. Sie können auch in Betracht ziehen, Ihren Browser zu leeren (_Sudo apt purge chromium_) und neu zu installieren (dabei werden jedoch auch alle Einstellungen gelöscht).

Außerdem: Ändern Sie Ihr Administratorkennwort. Am besten nicht von dieser Session, sondern von einer Live-DVD oder von Grub (auf diese Weise wird keines der Skripte analysiert).


Vor dem Entfernen a

_Sudo updatedb
_

und dann a

_locate 栯
_

und sehen, ob es die 2 Verzeichnisse findet (und alles andere).

3
Rinzwind