Dein Vater, bzw. dessen Avira, hat Recht. Der Webserver ist infiziert. Die Datei
jsfunc.layermenu.js (typo3/sysext/cms/tslib/media/scripts/jsfunc.layermenu.js) hat am Ende malicious code.
Siehe und
hier. Im Falle von maria-im-walde ist es allerdings kein WP sondern ein typo3