Ändere unbedingt dein FTP-Passwort.

Das wird ihm vermutlich nichts bringen.

Du bist innerhalb von relativ kurzer Zeit der dritte oder vierte Webspace-Inhaber, der sich hier im Forum mit einer infizierten Website meldet. Das kann nicht alles aufgrund von irgendwelchen Sicherheitslücken in verwendeten PHP-Skripten passieren, sondern dürfte eher an mangelnder Passwortsicherheit liegen.

Unsinn, wage ich zu behaupten. Nicht, weil es niemanden gäbe, der so dumm ist und etwas à la „passwort“ als Passwort verwenden täte, sondern weil es Schadprogramme, die den Netzwerkverkehr mitlesen und abgefangene Zugangsdaten weiterleiten, seit weit über 10 Jahren gibt. Passwortraterei macht man vielleicht da, wo Passworte verschlüsselt übertragen und nur einzelne Zugänge angegriffen werden sollen, aber doch nicht im Falle von FTP (wo gewissermaßen jeder mitlesen kann) und der Manipulation von Webseiten auf zweifelsohne unzähligen Domains (was mit Passwortraterei Jahrhunderte dauern würde).

Gerade erst vor einigen Monaten gab's einigen Tumult wegen massenhaft verbreiteter PDF-Dokumente, die eine der Sicherheitslücken in Adobes PDF-Reader ausnutzen (und die Unbedarfheit aller, die ein Windows-Administratorenkonto fürs tägliche Allerlei einsetzen), um einen Netzwerksniffer zu installieren, der seinerseits FTP-Zugangsdaten abfängt und weiterleitet. Aufgefallen ist das alles wie? Durch auf „mysteriöse Weise“ immer wieder an die Webseiten angehängten Javascript-Code.

Kurzum:
1. Den heimischen PC neu installieren. Er ist wahrscheinlich infiziert, und ein infizierter Rechner kann sich nicht sicher selbst reinigen, weil Reinigungs- und Schadsoftware mit denselben Rechten arbeiten und somit Katz und Maus spielen (oder Hase und Igel?).
2. Nach der Installation ein Benutzerkonto einrichten und nur noch in den seltensten Fällen mit Administratorenrechten arbeiten, wenn's unbedingt notwendig ist. Infizierte Programme und Daten sind vielleicht der Schlüssel zum Rechner, der Administratormodus ist aber die offene Haustür, durch die sich Schadsoftware erst richtig im System einnisten kann.
3. Das FTP-Passwort ändern.
4. Webserverdaten neu aufspielen.
5. Hoster suchen, der ein sichereres Protokoll als FTP unterstützt (was zugegebenermaßen schon für sich nicht ganz einfach ist und möglicherweise andere Probleme mit sich bringt, weil dann zwar die Übertragung sicher ist, aber das Angebot des Hosters gleichzeitig Dinge zulässt, von denen Unerfahrene besser die Finger lassen).