Dodam tylko, że jest jeszcze drugi przypadek i wówczas najlepiej ściągnąć sobie witrynę na kompa i przejrzeć czy w katalogu głównym nie pojawiły się jakieś dziwne jpgi i gify. To samo należy uczynić z folderem images.

Dodatkowo za pomocą np. Notepada ++ wyszukujemy frazę base64 i patrzymy, w których plikach są jakieś podejrzane wartości typu
Kod PHP:
return base64_decode('R0lGODlhEQANAJEDAJmZmf///wAAAP///yH5BAHoAwMALAAAAAARAA0AAAItnIGJxg0B42rsiSvCA/REmXQWhmnih3LUSGaqg35vFbSXucbSabunjnMohq8CADsA'); 
Do zdekodowania hasha można posłużyć się tą stroną

Mnie wykryło obecność plików
p.php
pp.php
mod.php

które oczywiście są do wywalenia