Долгая эпопея с вирусами вынесла мне мозг, но я все таки разобрался, где, что и откуда влезло.
При просмотре кода страницы был виден вызов какого-то левого ресурса, но в коде форума и в БД ничего такого найти не удавалось.
Вот что выяснил.
Во первых, дырка была у моего хостера, он чета намудрил с правами доступа и любой пользователь с ВЕБа получал доступ к папкам с правами 755.
Во вторых, по умолчанию, можно влить любой файл на площадку в папку tmp - там права 777.
В третьих скрипт вируса лежал на другой площадке моего хостинга как раз в папке tmp и именно по этому я его не находил.
Вызов скрипта вируса происходил из файла global.php (в конце файла) - дата создания файла и редактирования файла была не тронута.
Вызов производился командой @include с указанием полного (серверного) пути к скрипту.
Шелл пока не нашел, как найду - отпишусь где и как его искать.
Скрипт самого виря зашифрован и найти тупо текстовым поиском не получится, но! можной найти по фразе -
base64_decode. Т.е. при поиске вируса ищите во всех файлах эту текстовую строку.
Как защитить дополнительным паролем админку я описывал вот тут -
http://www.bormotuhi.net/showpost.ph...63&postcount=4