Обращаем Ваше внимание на тот факт, что восстановление из резервной копии не решит причину возникновения проблемы. Если в скриптах Ваших сайтов есть неустраненная уязвимость, то после восстановления из резервной копии возможно повторное заражение.
Злоумышленник залил через форму мне на сайт какой-то файл?
на основании чего Вы делаете вывод, что какой-то файл Вам был залит через некую форму?
Внедрением вредоносного кода занимается программа-троян, похищающая у пользователя пароли FTP-доступа и часто не определяющаяся антивирусными программами.
Анализ механизма заражения сайтов показывает, что файлы меняются посредством легального (!) FTP-подключения, т.е. никакого взлома сайта не производилось, а всего лишь осуществлялся вход по логину/паролю и последующая модификация файлов сайта.
Подобное поведение присуще программам семейства Pinch, которые умеют обходить брандмауэры и антивирусные программы и похищает пароли, сохраненные в InternetExplorer, CuteFTP, TotalCommander, WindowsCommander и др.
Порядок решения проблемы:
1. (!!!) Необходимо проверить свой компьютер антивирусом с самыми последними обновлениями. (!!!)
2. (!!!) Сменить пароли доступа ко всем FTP-аккаунтам. (!!!)
3. Восстановить сайт из резервной копий, предварительно проверив, что сайт в резервной копии не заражен вирусом, т.к. резервная копия могла создаваться уже после заражения сайта или вручную удалить код вируса из файлов, в которых он содержится. Чаще всего код внедряется в index.php файлы в корне и в /admin/, также могут быть повреждены php-файлы в корне, вирус чаще всего находится в самом начале или конце файла и начинается с <script. Определять зараженные файлы можно также по дате их изменения. Также часто повреждаются все JS-файлы, размещенные в /admin/, /modules/, /hostcmsfiles/, /templates/ и т.д.
4. Никогда не сохранять пароли в программах, в том числе в файловых и FTP-менеджерах!
5. Учитывая большой список известных уязвимостей Internet Explorer, воспользоваться альтернативными браузерами, например, Firefox.