E-Mail von Steam und merkwürdige Disconnects
 

Hallo,

also ich fange mal vorne an:
OS: Windows 10 (aktuell)
i5-8600K,16GB DDR4 2666,GTX 10er-Serie
Antivir: wieder Windows Defender
Browser: Problem tritt bei allen auf, Firefox, Chrome, Edge


Am 11.02.2019 habe ich mir ein paar Mods für ein Steamspiel gezogen .cat-Format und diese wie immer bei virustotal und co. prüfen lassen - ohne Befund.
Am 13.02.2019 erhielt ich eine E-Mail von Steam, dass jemand mit dem richtigen Passwort und Nutzernamen auf mein Konto zugreifen wollte, dies wurde durch Steamguard verhindert. Der Loginversuch erfolgte scheinbar aus der Türkei - die E-Mail war (mit extrem hoher Wahrscheinlichkeit) echt, habe die komplette E-Mail mit einer früheren von Steam verglichen (als ich einen neuen PC gekauft habe).
Daraufhin habe ich mein Steampasswort zum ersten Mal (nach 15 Jahren) geändert, habe auch weiterhin Zugriff auf meinen Account und es gab auch keinen weiteren Loginversuch.

Trotzdem verunsicherte mich das Ganze ziemlich, daher hab ich auf den Rat eines anderen Forums hin einige Malware/Antivirenprogramme laufen lassen (es wurde nichts gefunden, auch bei Offline-Scans).

Seitdem habe ich allerdings ein neues Problem, was "scheinbar" nicht wirklich mit diesem zusammenhängt (außer es liegt an den unterschiedlichen Virenscannern):
Twitch wirft seitdem Error 2000 aus (Netzwerkfehler), ca. 1-5 Minuten nach Start, Browser ändern hilft nichts, auf meinem Smartphone/FireTV/FireTablet funktioniert Twitch weiterhin problemlos.
Wenn dieser Netzwerkfehler auftritt werden auch alle meine Downloads im Browser abgebrochen, ohne Twitch laufen die Downloads durch.

Irgendwelche Ideen?
Bin mittlerweile soweit das System neu aufzusetzen, aber es scheint ja keinerlei Infektion vorzuliegen oder gibt es Keylogger die sich so gut verstecken können?
Allerdings hätten die doch sicher mein Paypal/Bankkonto/Kreditkarte angegriffen?
Mein Steampasswort habe ich übrigens seit einem Jahr nicht mehr eingegeben (Autostart).

Passwort Doppelnutzung ist ebenfalls ausgeschlossen, ist aber wie gesagt 15 Jahre alt und simpel gewesen (10 Buchstaben, 6 davon ein englisches Wort 4 random, alle klein), allerdings soll bruteforcing bei Steam ja ziemlich unmöglich sein?

Nur weil es da keine Funde gab heißt das nicht, dass da nix Böses drin steckt. Leider schweigst du dich zur Herkunft und Art dieser Mods aus, deswegen kann man das nicht wirklich beurteilen.

nexusmods und loverslab, wie könnte ich denn weitergehende Untersuchungen anstellen?
Art der Mods: Skin/Waffenreplacements für Witcher 3 und Senran Kagura.

Hallo,

die geladenen Mods sollen laut Usern sicher sein, da es sich lediglich um Texturen handelt (es wurden zudem in 2 Jahren keine gestohlenen Accounts gemeldet).

ich habe zwischen den Headern, Adressen etc. die ich bisher von Steam erhalten habe einen kleinen Unterschied festgestellt:
@smtp-01-tuk1.steampowered.com
sonst war es immer
@smtp01.steampowered.com

Zudem wurde die IP-range von der die E-Mail kam auf einer Abusesite gemeldet mit dem Hinweis "Honeypot hit", allerdings weiß ich nicht was das bedeutet. Die IP ist von Valve.

Habe einfach mal den Steam support kontaktiert, die können mir eventuell bestätigen, ob es sich um eine E-Mail von Steam handelt.

Ich habe außerdem auf meinem System xhunter1.sys gefunden, hierbei handelt es sich wohl um eine Art Spyware welche mit Black Desert Online (welches ich im Sale gekauft habe) installiert wurde.
Würde mich allerdings wundern, wenn die an mein PW gekommen sein sollte?

Würde ich auch so sehen. Das laden der Mods stellt kein Sicherheitsrisiko dar, wenn es sich nur um Texturen handelt.

Jo, dann war das mit Sicherheit tatsächlich ein Phishingversuch. Die haben einfach deine E-Mail irgendwo abgefischt und dir eine Fakesteammail zugesendet.
Solange du da nix angeklickt hast, solltest du auf der sicheren Seite sein und PW's ändern ist grds. nicht verkehrt.

So, habe eine Antwort vom Steamsupport, es handelte sich tatsächlich um eine E-Mail von Steam. Nach dem Passwortwechsel gab es keinen weiteren Loginversuch (bestätigt vom Support), ich habe das Passwort übrigens tatsächlich 2x benutzt - in den Steamforen, die 2011 gehackt wurden.

Die Disconnects konnte ich nun wohl auch eliminieren, der Router stand so nah an einer mit Metall verstärkten Wand, dass es scheinbar zu Interferenzen kam, zudem hat offensichtlich ein Nachbar den gleichen Funkkanal gewählt (sein WLAN wird allerdings nicht angezeigt).