Se sul tuo sito continuano ad apparire PHP malevoli a occhio direi che è stato compromesso nel senso che qualcuno ha scoperto la password per accedervi via ftp o qualcosa di simile. Hai interpellato il tuo fornitore di hosting per capire la situazione?