В код движка внедрен чужой код

ну-ну, читать не умеем? =)

ScorpionDS, а какой хостинг вы используете? у нас вдс и таже проблема, быть может вы используем один и тот же сервер?

скорей всего одни и теже левые сайты

Нет, у нас свой арендованный сервер, там левака почти нет, но дни проект был вообще на стороннем хостинге. Я склоняюсь к версии, которую тут высказали, что пароли ушли через Тотал.
Завтра на работе я буду знать больше, админ обещал посмотреть по логам, кто заходил по ФТП и по возможности что делал скрипт.

Сегодня снова позаражались сайты.. Каспером раз в 3 дня проверяюсь и нифига не находит. Странно!

Total Commander удалили?
Ограничьте круг лиц у которых есть доступ к серверу. Проверьте время модификации файлов.

Почему люди спрашивают, но ответы не читают?

встретился с таким еще... до нового года пожалуй, проблема обнаружилась на нескольких проектах параллельно после того как перестали работать некоторый функционал в одних случаях или после того как nod 32 стал выдавать сообщения что через js пытаются лезть вирусы на комп (при просмотре страниц сайта), общался с поддержкой хостинга советы везде одинаковы (хостинги nic.ru и sweb.ru)

-изменить пароли к ftp
-стереть их отовсюду из менеджеров и не записывать их туда больше

проблему с зараженными файлами решал полной заменой всех .js файлов и index.php

попытка зайти на удаленный ресурс куда внедренный код обращается ничего не дала((

попытки выяснить что делает этот код и откуда он тоже...

может у кого-нибудь появилась информация что это, для чего и откуда?

На форуме Каспера мне сказали, что не важно что он делает, но скорей всего он устанавливает себя на компьютеры клиентов после посещения сайтов, и снова ворует пароли. Хотя мне кажется у него (у самого трояна на JS кода), должна быть и какая-то другая задача, возможно формирование бот-сети.