Beim Verzeichnisvergleich sind mir weitere Daten aufgefallen, mit ungewöhnlichen oder falschen Dateiendungen (ich vermute, dass ein Script die Datei z.B. von .htm zu .php umbenennt, ausführt / einbindet und danach wieder umbenennt --> bei der Durchsicht fallen solche HTMLs ja nicht auf, vor allem nicht die Verfizierungsseiten, z.B. "google1234567.htm").

Dadurch habe ich ein Script identifiziert, "boff_web_shell.php". Damit war es mir möglich auf alle Verzeichnisse des Servers zuzugreifen, auch die anderer Kunden außerhalb der Quota. Zwar ist mir rätselhaft wie das funktioniert, testhalber hab ich aber (nachdem der Kundenservice negiert hat, dass das möglich ist) auf einem anderen Verzeichnis eine htm gespeichert...

Deswegen bin ich seither immer vorsichtig, wenn jemand sagt, "ich" wurde gehackt ... wer weiß was und wie es beim Hoster liegt...

Mein Rat: Vergleiche das letzte saubere Backup mit einem DIFF-Tool (gibt's jede Menge kostenlos, unter XP ist glaube ich sogar das "windiff.exe" kostenlos dabei) und schau jede Datei mit unterschiedlicher Größe an.
Altes Indianer Sprichwort: "Wo ein weißer Mann ist, sind noch mehr weiße Männer..."

Ich drück Dir die Daumen, dass Du bald wieder sicher online bist.
Meine letzte Konsequenz war die Abschaltung des Shop, nachdem ich schon so viele PHPs deaktivieren musste, dass es eh schon ein Witz war...

Weitere Software läuft in der Tat auf dem Server

Hier mal schauen, ob diese Software zu aktualisieren ist ... und natürlich die neuen Zeilen aus der config.php entfernen.

Hattest du bei deinen Einstellungen unseren Sicherheits-Thread berücksichtigt?

http://forum.cmsmadesimple.de/viewtopic.php?id=18

Läuft auf dem Host noch andere Software außer CMSMS?

Das templates_c Verzeichnis kannst du löschen, indem du im Backend die Funktion "Zwischenspeicher löschen" verwendest.

Als erstes würde ich die Passwörter für FTP, die Datenbanken und CMSMS ändern ... alles weitere nach deiner Antwort.