Ya lo hice, igualmente tengo la computadora limpia con un buen antivirus pago. Como dije antes si ellos tubieran la contrasena, harian mas dano, hubieran editado el .htaccess en vez de agregar otro.. Yo creo que hay un "backdoor" al habilitar "allow_url_include" y "allow_fopen_url" porque ya lei en varios blogs que hay ataques de .htaccess cuando estos estan habilitados..

Alguna otra idea para usar "includes" con php cuando estos estan deshabilitados?

gracias por la ayuda...