послушайте..что ж вы развезли..
1. этот "умелец" повставлял во все индексы на аккаунте iframe
Если там есть другие сайты- смотрите их
2. Заработало- этого мало!
код на партнерку/тдс и тп внедрен в индекс админки, авторизации и тд.
Кроме того возможена и активная хсс - т.е. каждый посетитель (или только админ), авторизуясь отдает свои куки на сниффер
У вас просил переавторизоваться, или сменить пароль скрипт форума?
3. Откуда вы знаете что не залит шелл? и все не повторится?
4. Уродец не сменил даты изменений, правленные им файлы отличаются по дате
5. По хорошему, все файлы нужно слить на локалку, и выполнить сравнение с теми, что должны быть (кроме тех, что изменяются автоматически)
Искать все iframe , eval
Сравнивать размеры файлов, даты, сканировать на наличие backdoor
(вдруг не закриптован)
А вы...
п.с. предлагала желающим сбрутить вход этой..кокаколы, но никто не хочет связываться, и мне влом (сломал пару моих дохлых сайтиков, судя по ссылке)