nirvimel

Адрес отыскать вполне реально (например, через упомянутый ArtMoney). Вот только адрес этот будет меняться как минимум при каждом запуске программы, а как максимум непрерывно каждые N миллисекунд в процессе ее работы (переменные на стеке в часто вызываемой функции). Поэтому само по себе значение адреса ничего не даст. Его придется заново искать вручную постоянно. Или писать патчер (но это длинная история).

Подготовка:

1. В чистую виртуальную машину с отключенной сетью ставится чистый Windows с лицензионного диска (никакая не СБОРКА! и не готовый образ).
   
2. Никакой другой ПОЛЕЗНЫЙ софт на эту ВМ не ставится.
   
3. Ставится банк-клиент, скаченный с официального сайта.
   
4. Подключается сеть в режиме NAT.
   
5. Заносятся все данные и ключи. Проверяется подключение к серверу (увидеть свой баланс).
   
6. Делается снепшот виртуальной машины.
   

Работа:

1. Запуск ВМ. Работа в банк-клинте (как обычно). Откат ВМ к снепшоту, сделанному на этапе подготовки.
   

Только не говорите, что это НЕ УДОБНО.
Во-первых, это неправда; запустить/остановить/откатить VirtualBox (например) не сложнее, чем распечатать накладную в 1С.
Во-вторых, если бы даже это было действительно не удобно, то это все равно не имело бы значения, когда речь идет о безопасности банковских операций.

1. Купите недорогой VPS (от $15/год, можно даже дешевле) и поднимите на нем личный VPN. В Сети есть куча подробных руководств как это делается. Только не надо говорить, что у вас нет на это денег, интернетом вы же не бесплатно пользуетесь. Просто примите это как небольшую дополнительную плату за интернет за ваш спокойный сон.
   
2. Работая через VPN (обязательно), заведите себе новый почтовый ящик на зарубежном сервере у компании, у которой нет никакого бизнеса и любых коммерческих интересов в РФ. Пусть это будет не мажорный гигант индустрии, а скромная компания, малоизвестная в РФ. Главное - это наличие SSL в веб-интерфейсе и в IMAP, в остальном почта есть почта, она просто работает, и этого достаточно.
   
3. Работая через VPN, заведите себе новый аккаунт в vk facebook и/или google (если вы неспособны полностью отказаться от использования социалок). При регистрации указывайте место проживания подальше от РФ. Учитывайте, что все гиганты индустрии, имеющие большой бизнес в РФ, полностью сотрудничает с ГБ, но аккаунты нерезидентов, зарегистрированные и посещаемые с зарубежных IP, они не станут сливать по умолчанию (но по первому запросу сольют мгновенно). Так что забудьте про любые приваты в социалках, ведите все общение так, как будто все это читает весь ваш квартал и все те, кому бы вам меньше всего хотелось это показывать. Для приватного общения пользуйтесь только безопасной почтой (пункт 2) и защищенными чатами, на telegram jabber на зарубежных серверах. Все это касается только тех, кто не может окончательно завязать с пагубной зависимостью от соц.сетей. Очевидно, наиболее безопасным (и полезным для здоровья) вариантом является полный отказ от социалок.
   
4. Не вбрасывайте в старые ящики и соц.аккаунты адреса и ссылки на новые чистые, не указывайте новые адреса в любых исходящих и старайтесь, чтобы они не попали во входящие. Помните, что в любой социалке и любом веб-интерфейсе почты (сотрудничающей) кнопка "удалить" скрывает удаляемое только от вас самих и не более того.
   
5. (Самый неприятный пункт) Забудьте про vk, mail.ru и российские gmail и facebook. - КАК? - Так! Я понимаю, что это не легко, что они давно стали частью вашей жизни. Но это придется сделать! Поговорите сами с собой, спросите себя что для вас важнее: ваша личная безопасность, спокойствие и крепкий сон или старые привычки, которыми вы опутаны, и которые не хотят отпускать вас? Учтите, что продолжая пользоваться местными социалками (и сотрудничающими иностранными), вы продолжаете каждый день генерировать на себя тонны компромата, который может обернуться против вас в самый неожиданный момент самым неприятным образом. Проявляя активность в своих старых аккаунтах, вы не даете им "протухнуть" и не даете даже формального повода добрым компаниям снести их через пол года, после истечения отведенного законом срока хранения (как известно, vk не ограничивается минимальным сроком хранения, а хранит все метаданные и текст практически вечно за исключением видео/аудио).
   

На ум приходит только несколько простых действий по настройке .htaccess, robots.txt

robots.txt - не имеет никакого отношения к разграничению доступа, это просто некое соглашение между гугл-ботом и владельцем сайта, позволяющие не усложнять жизнь друг другу.
.htaccess - это и есть конфиг Apache, определяющий как веб-сервер обрабатывает HTTP-запросы и что, как и кому (авторизация/сессии юзеров) отдает в ответ. Веб-сервер можно заставить отдавать/не_отдавать содержимое файловой системы как угодно. В общем случае содержимое "сайта" (такое расплывчатое понятие) "показываемое" (доступное) HTTP-клиенту совсем не обязательно повторяет структуру каталогов в файловой системе сервера (представление о том что веб-сервер "открывает" содержимое файловой системы в Сеть исторически сложилось благодаря соответствующей архитектуре Apache, который изначально разрабатывался для статических сайтов).
Даже без всякого конфигурирования .htaccess на всех серьезных хостингах по умолчанию публично открыто только содержимое public_html (только на совсем школьных хостингах публичный доступ идет от корня по умолчанию), все что находится выше по уровню недоступно со стороны Сети (если только специально не открыть через .htaccess).

они же получат доступ ко всем данным

Пусть этим человеком лучше окажется нанятый вами подрядчик, который уже получил за свою работу деньги, личность которого известна вам и которому нет никакого смысла рисковать своей репутацией и безопасностью ради того чтобы удовлетворить свое любопытство. Чем этим человеком станет кто-то совершено посторонний, неизвестный вам, ничего вам не должный, с неизвестными мотивами, возможно нанятый конкурентами или одиночка, озлобленный на весь мир, которому доставит удовольствие подгатить кому-угодно ради чувства собственного величия.

1. Это не вирус, а троян (вирус, как минимум, способен размножатся без участия (использования) человека).
   
2. Все что он стянул из профиля, под которым сам запущен, он сможет расшифровать (потому, что это может браузер, запущенный под этим юзером).
   
3. Если он был запущен из-под администратора, то он стянул и расшифровал (или прихватил все необходимое для расшифровки) все хоть сколько-нибудь интересное из профилей всех юзеров на машине.
   
4. Единственный случай, когда DPAPI могло бы чем-то помочь, это если бы троян, запущенный не под администратором, каким-то образом получил доступ к профилю браузера в профиле другого юзера, но не получил бы доступ к реестру того юзера (файл в корне его профиля). Случай вообще редчайший, и может рассматриваться число теоретически, потому что по-умолчанию права доступа закрывают все содержимое профиля одного юзера от другого (не администратора).
   

Какой же странный этот ваш PHP-мир. Самописные фреймфорки у вас безопаснее, развиваемых годами, ведущих open source проектов, на которых стоят миллионы сайтов. Я даже не знаю, это больше комплимент в сторону смелых и отважных разработчиков собственных фреймфорков, которым приходится повторять нелегкий путь, пройденный до них тысячами таких же борцов за безопасность, или это комплимент в сторону безгранично доверчивых клиентов, которые смело полагаются на безопасность ведущих в отрасли решений на основании того, что этими же решениями пользуются тысячи других контор с серьезными именами.

Этот троян можно скинуть своему знакомому и тот запустив его незаметно, ...

У меня просто ломается мозг, когда я пытаюсь представить как, находясь в полном здравии и трезвой памяти, можно на собственной машине запустить что-то незаметно (а потом еще незаметно ввести пароль администратора, чтобы впустить гадость в систему). Это выходит за рамки моего воображения. Как тогда не бояться гулять в парке где под кустами лежит собачий помёт, ведь можно же его проглотить незаметно?