Deinen Post halte ich für am Zutreffendsten, auch wenn mir immer noch nicht klar ist wie der Transfer erfolgen konnte während ich online war...
Nun ja, wenn dein Rechner tatsächlich kompromittiert wurde und du eingeloggt warst dann hätte der Angreifer Zugriff auf deine (eingeloggte) Session und kann damit all die Aktionen ausführen, die du auch ausführen kannst.
Wenn dann keine 2FA
für Überweisungen nötigt ist, steht dem Angreifer nichts mehr im Weg.
wenn ich auf den Link klicke meldet sich Avast:
Bedrohung gesichert
Wir haben die Verbindung zu content1.amung.app sicher abgebrochen, da es mit URL:Blacklist infiziert war
Dann ist diese Seite/Anwendung mittlerweile geblacklisted.
Erinnerst du dich ob diese Meldung zwischen dem 14. und 16. ebenfalls erschienen ist?
Wenn nicht, dann war die vermeintliche Schadsoftware zu dem Zeitpunkt bei Avast noch nicht geblacklisted.
Nur finde ich bzw. Avast NICHTS. Die 3 Auto-RUN Abschnitte in der Registry weisen auch keine unbekannten Programme auf.
Malware wird i.d.R. auch nicht immer von Antivirensoftware erkannt.
AV's arbeiten einmal mit Signaturen (quasi das erkennen von bereits bekannter Malware) und mit Heuristiken (auffälliges Verhalten).
Es ist durchaus möglich Malware ohne Erkennung von AV's zu konzipieren. Und das ist gar nicht mal so schwer.
Auch im Autostart muss nicht unbedingt was sichtbar sein.
Nach der Kompromittierung kommt i.d.R. die Einnistung in das System. Das kann über andere Prozesse erfolgen und bedeutet nicht automatisch, dass ein neuer Prozess in den Autostart eingetragen wird.
Ich nutze noch Win7, weil mir Win10, auch wegen der Datenspionage, nicht gefällt. Sehr schlimm?
Schon ziemlich.
Windows 7 erhält keine Sicherheitsupdates mehr.
Zudem sind einige Sicherheitsmechanismen, welche in Win 10 vorhanden sind, hier nicht präsent.
Würde generell immer davon abraten Win 7 zu nutzen.
Die meisten Aktivitäten betreffen Facebook. Also dort könnte ich mir vorstellen was angeklickt zu haben...
Scheint für mich auch so als wäre das der Ursprung.
Immer noch nicht klar ist allerdings, wie dein Rechner bzw. deine blockchain.com Session dadurch kompromittiert wurde.
Eine infizierte Seite zu besuchen reicht im allgemeinen nicht einfach so aus.
Entweder wurde was heruntergeladen und geöffnet/ausgeführt oder es wurden Schwachstellen in Browser und Betriebssystem (bei Win7 durchaus im Bereich des Möglichen) ausgenutzt.
Ich frage mich in wie fern der Angreifer es auf Krypto Besitzer abgesehen hat. Die Malware zum Krypto stehlen die sonst so im Umlauf ist, ist ziemlich stumpfsinnig (z.B. ausschließlich Ersetzen von Adressen in der Zwischenablage).
Dein Fall hier scheint schon etwas ominöser bzw.
spezieller zu sein.