Ich schließe jedenfalls, dass deine Seite über den FTP-Zugang verändert wurde. Ich habe dir die Logs kommentiert zurückgemailt.

Das heißt dann wohl, dass dein FTP-Passwort verraten ist. Theoretisch könnte man noch über eine fehlerhafte/veraltete FTP-Software beim Webhoster nachdenken, die Zugriff auch ohne Passwort erlaubt. Praktisch halte ich das aber für so unwahrscheinlich, dass wir das gleich wieder beiseite scheiben sollten.

Zu den Möglichkeiten, die zum Verrat des FTP-Passworts geführt haben können, habe ich auch kurz was gemailt. Wenn Du alle bis auf eine ausschließen kannst, dann muss es die eine sein, so unwahrscheinlich sie auch erscheinen mag.

Was hat Antivir den entfernt? Ein unauffälliges Hijackthis ist leider keine Garantie dafür, dass auf einem Rechner alles ok ist. Hiajckthis ist ein sehr oberflächliches Werkzeug. Ohne die dazugehörigen Onlineauswertungen wäre das Programm schon längst beiseite gelegt worden.