Абсолютно верно! Необходимо просматривать рабочий код и делать оценку, все остальное это как минимум догадки.
Подобные файлы могут быть разных названий и даже содержания, но выполнять одну функция - давать доступ. Так же не всегда крон влияет на автоматическую перезапись, так же все это можно сделать через скрипт.
Не обязательно что дата у файлов должна поменяться, т.е. можно записать вирус так, что даты останутся прежними.
Решение искать источник в рабочем коде двжика, иначе возможное повторение проблемы.
ТС не всегда внешний можно определить проблему, нужно смотреть сам рабочий код.
У вас кричит антивирус? поисковики показывают что сайт заражен? или у вас есть подозрения по работе самого сайта?
Если внешний ни как не проявляется проверить рабочий код на предмет вредоносного кода. Иногда пользователи и сами не знают что у них вирус или др. вредоносный код.
Антивирусом проверять это опасное дело, он может удалить вам весь зараженный файл вместе с заразой. Поисковик ставит метку, а потом снимает из-за недоступности вируса, т.е. он может показываться один раз в сутки например. Внешний у вас проблему не решишь.
Удалить код не проблема, необходимо выяснить как он появился и лечить.
Сайт работает, но внешний не всегда можно сказать что и где искать, да не полноценная проверка будет внешний осматривая сайт, нужно смотреть сам код.
Вирусный скрипт может быть не только в баннерах, так же могли его прописать в любом исполняющем файле. Посмотриет в админке в разделе баннеры точно ли удален вирус!
