На хостинге только этот сайт? Потому что если их несколько, то через один можно заразить и все соседние.

Я бы с нуля собрал сайт той же версии ядра и модулей и сравнил их папки при помощи diff.
Различия смотреть и решать по ситуации.

ant4 wrote: Можно скачать по отдельности архивы ядра и модулей распаковать и сравнить каждый по отдельности Smile

Вариант вполне нормальный, даже если там 50 папок и придется вручную качать нужные версии модулей, это не так уж прям много времени потребует, если не возиться с композером.
Еще вариант - просто удалить все htaccess внутри модулей (не вручную), там их быть не должно нигде, если только какие-то кастомные модули.

В прошлом году на такой же зараженный сайт попадал и так делал - массово удалил htaccess, коренной перезалил из дистрибутива с ручным переносом изменений из старого, в папке files тоже удалял, потом они пересоздаются после сохранения настроек на странице файловой системы.

Кроме только файлов htaccess еще наверняка много шеллов есть - в ispmanager неплохой сканер заразы есть, как вариант купить на месяц хостинг с ним, там проверить, или так же временно vps и триальный ispmanager, так же на раз установить, проверить, снести все.

p.s. так же есть смысл проверить libraries на наличие дырявого elfinder и/или папки внутри (elfinder/src/elfinder-src.php.html) или других аплоадеров, которые могут открывать возможность загрузки файлов.

Чтобы на 7 перезалить с нуля все модули, сначала надо всё обновить до последней версии, благо это делается одной командой. Потом просто берёшь листинг папок модулей, сохраняешь в текстовый файл. Удаляешь из списка кастомные модули. Затем удаляешь из папки весь контриб. А потом drush dl *листинг молулей*. Вот не помню только разделители пробелы или запятые. Потом сбросить кэш и запустить drush updb на всякий случай. И всё. Дел на 15 минут.