Hoster kontaktieren (falls kein eigener (V-)Server),

Ist ein Root Server bei 1&1. Die werden mir nicht viel weiter helfen...

aber vorher den eigenen Rechner

Bin gerade dabei. Diverse Vierenscanner haben (noch) nichts gefunden.

und den aller Projekteilnehmer checken.

Es gibt außer mir keine.

Es gab auch schon Trojaner, die haben Dateien unmittelbar vor dem Upload per FTP, SFTP WeDAV oder was immer verändert.

Außerdem: Alle Passwörter ändern, die könnten inzwischen bekannt sein.

Done.