Подуймайте над такими вариантами получения вашего пароля:
1) Ваш пароль теоретически могли сфишить, например, когда вы с какого-нибудь айфона сидели через вайфай.
2) Или вы ввели свой пароль на фальшивой якобы гуглостранице, например, размещенной на sites.google.com (вызывающий доверие домен).
3) Или все же троян, который, например, прятался в пиратской программе. скачанной с торрента.
4) Или злое расширение браузера, ворующее пароли и куки.
5) Или какое-нибудь андроид-приложение, которому вы дали доступ к гуглоаккаунту.
6) Или вы используете Java/Adobe Acrobat (но зачем???) и ходите по интернету с этими бекдорами, широко распахивающими уже лет десять двери всем хакерам мира.
7) Фальшывй DNS, который переадресовывал запросы к gmail на другой домен.
А двойная авторизация — это же хорошо, при попытке зайти с другого IP сразу у Гугла включается паранойя.
Антивирус помогает только от старых троянов. Сейчас даже школьники-ботоводы проверяют свои связки эксплойтов на необнаруживаемость антивирусами прежде чем запускать их в сеть, и у них есть несколько дней, прежде чем те попадут в руки вирусных аналитиков. По этой причине надеяться на антивирус довольно-таки глупо.