Etwas ungünstig war das neuinstallieren des Servers, vielleicht hätte man doch noch was in den Logs gefunden. So macht man sich nur noch mehr verdächtig mit der Neuinstallation.
Wurde das Passwort nach dem Virenscan geändert? Gabs irgendwelche Accounts zusätzlich die als Backdoor genutzt hätten können?