Przejrzyj pliki szablonu, link może być (i pewnie jest) zamaskowany, np. za pomocą eval(), base64_decode() czy po prostu strrev().

To wg mnie Twój najmniejszy problem. Większy jest taki, że jeżeli ktoś zmodyfikował Twój szablon, to ma dostęp do zawartości serwera, samo usunięcie kodu nie rozwiąże problemu.

Ale jest jeszcze jeden problem. Serwer masz w netart (na nazwa.pl), więc najprawdopodobniej masz własne IP. Na tym IP jest kilkadziesiąt domen. Przynajmniej kilka z nich jest zawirusowanych (np. fotog****.pl, medycyn****.pl), a IP ma nieciekawą historię.

A.