also mit einem Zugangsschutz per .htacess

In der Webalizer-Statistik tauchen nun in der Rubrik Usernames zwei Namen auf, die sich eigentlich nicht einloggen können.

Google ist ausnahmsweise nicht mein Freund. Ich finde keine ausführliche Erklärung, wie Webalizer zu den Usernames kommt.

Webalizer wertet lediglich die Protokolle aus, die der Webserver erzeugt. In der Webalizer-Beschreibung wird gleich im zweiten Punkt auf das Apache-Modul mod_log_config als Quelle verwiesen, und dort wiederum findest du im Abschnitt "Custom Log Formats" folgenden Hinweis:

%...u: Remote user (from auth; may be bogus if return status (%s) is 401)

Es landen also auch ungültige Benutzernamen zumindest im Zugriffsprotokoll, allerdings mit einem entsprechenden Eintrag im Fehlerprotokoll. Deiner Beschreibung nach fehlt euch aber wohl zum einem letzterer und zum anderen übernimmt Webalizer demnach auch keine Benutzernamen, die in Zusammenhang mit einem fehlgeschlagenen Anmeldeversuch im Zugriffsprotokoll landen.

Eine IMHO nur theoretische Quelle wäre Software, die ohne Not eine Authorization-Zeile schickt (dient zur Übertragung der Anmeldedaten). Macht sie dies bei einem nicht geschützten Objekt, würde so eine "Anmeldung" logischerweise auch nicht fehlschlagen.
Zumindest der Apache 2 schreibt den Namen in diesem Fall aber nicht ins Protokoll, aber vielleicht läuft bei euch ja ein anderer.

Wo könnten die nicht in der .htusers aufgelisteten Usernamen noch herkommen?

Der aus der HTTP-Authentifizierung gewonnene Name im Serverprotokoll ist beim Standard-Webalizer die einzige Quelle. Ist natürlich etwas unglücklich, wenn ausgerechnet dieses Protokoll schon wenige Tage nach Erzeugung gelöscht wird. Vielleicht solltet ihr das mal ändern.