Один знакомый психотерапевт говорил мне как-то: "после - не значит вследствие". По этому, да, после онлайн-оплаты мог. Но мог и до. Я не буду рассматривать такие случаи, как и случаи, когда заражение произошло сильно после, например, через год. :)
Посмотрим, как устроена онлайн-оплата. У магазина есть договор с банком об оказании услуги интернет-экваиринга и, соответственно, счёт в этом банке. Банк даёт магазину инструменты, чтобы получить от банка форму ввода карты, форму подтверждения SMS-кодом и некоторые другие формы, которые отображаются или на отдельной странице, или в iframe-ах прямо в странице сайта магазина. А еще интерфейсы (web-сервисы), чтобы инициировать платёж, получить статус платежа, посмотреть отчёты и т.п.
Чтобы принять оплату, магазин получает от банка форму и внедряет её в свою страницу, или переадресует покупателя на форму. При этом банку передаётся номер заказа и сумма. (Опционально email, и часть атрибутов карты, если покупатель доверил их магазину). Далее покупатель взаимодействует некоторое время с сайтом банка (магазина это не касается). А потом переадресуется обратно на сайт магазина. На карте покупателя блокируется сумма заказа, блокировка действует до тех пор пока деньги со счёта покупателя (а он может быть клиентом и другого банка) не зачисляются на счёт магазина.
Если сайт магазина заражён, то компьютер покупателя может получить и запустить у себя вирус. И вирусу логичнее попытаться заразить компьютер пользователя до оплаты. Это гораздо интереснее :)
Сайт банка мы будем подозревать в последнюю очередь. Там целая служба информационной безопасности неустанно бдит, чтобы всё было чисто.
Сайты инициирующие оплату картой - это одна из вожделенных целей хакеров. Следите, чтобы у сайта магазина обязательно было шифрование (https) и действительный сертификат. Ну и антивирусы имеющие проективную защиту при просмотре web-страниц лучше использовать, чем не использовать.