Очень похоже на вирус, который ходит по фтп и вешает в конце определенных файлов свои хвосты. Просто сменить пароли недостаточно, сначала его нужно отловить. Вирь этот только на моей памяти обходил Аваст, Комодо, Нортон и Нод32. Попробуйте установить пробник каспера — моему приятелю недавно помогло. Когда выловите, тогда меняйте пароли и чистите сам сайт. А вообще не рекомендуется хранить пароли сохраненными в ФТП-программах. Особенно подвержены Total Commander и Filezilla.