Czy masz kopię zapasową z czasów gdy nie były zainfekowane serwery?
Jeśli tak i jeśli możesz bez konsekwencji zastąpić pliki na serwerze plikami z kopii to to powinno pomóc. Oczywiście wcześniej powienieneś zrobić kopię bazy danych w celu ewentualnego jej przywrócenia (baza danych nie infekuje się tym szkodnikiem z tego co wiem).
Jeśli nie możesz odtworzyć z kopii to pozostaje wykryć kod szkodliwego skryptu i po kolei odnaleźć w plikach php ten kod (może być zaszyfrowany). Znalezione fragmenty usuwasz, czasem może wymagać przywrócenie oryginalnego fragmentu (jeśli nastąpiła podmiana kodu a nie wklejenie). Praca benedyktyńska, pewnie do przeglądnięcia wiele tysięcy plików.
Nie używaj Total Commandera przy wgrywaniu plików, często on może być przyczyną wykradzenia hasła logowania.
Zmień oczywiście hasła i nawet loginy (o ile to możliwe).
Możesz spróbować użyć też programu antywirusowego do wyszukania i ewentualnego usunięcia (nie wszystkie dają się usunąć za pomoca programu AV, nawet problemy są z wykryciem). Jak masz serwery na Linuksie spróbuj Clam AV, może on coś wykryje przynajmniej i będzie wiadomo które pliki.
