Ага. Именно поэтому (вебмастера попадаются МАХРОВЫЕ идиоты) я запускаю скрипт только сам у себя на хостинге, и не даю этого делать идиотам. :))))

и переименовать :)

Изменения в версии 20130201

- новые сигнатуры
- файл отчета запрещен к индексированию
- в имени файла отчета добавляется случайное число для защиты от подбора имени
- добавлен .aknown файл для Wordpress 3.5.1

http://revisium.com/ai/

Погонял софтинку на нескольких заведомо зараженных экспериментальных сайтах.
Резюме.
1. Файлики вредоносные нашла все.
2. Все зараженные php-шки обозначила и идентифицировала верно.
3. О-о-очень избыточный отчет.

У меня на 10 файлов, подлежащих удалению и 4 файлов для лечения выдала несколько тысяч строк о подозрительных ситуациях. Так что для анализа отчета и поиска в нем того, что действительно стоит внимания требуется неплохая квалификация программера-админа и достаточно много времени.

Нельзя сказать, что это были ложные срабатывания: программка честно нашла косяки программистов, устаревшие конструкции кода, оставленные закоментированные отладочные куски и все пометила, как подозрительное. Действительно подозрительно, действительно стоит обратить на это внимание лентяя-разработчика, но к заражению очевидно большинство косяков не могло относится.

Ну очевидно, что
#phpinfo();
это - не вирус.

К чему это я все пишу: опция поиска "подозрительных" участков нужна. Но нужет так же режим поиска только заведомых вирусов, без анализа подозрений, иначе повторюсь, просто глаза замылятся при чтении отчета и пропустишь нужную строку.

Так что программе нужен еще один ключ: "Искать только по сигнатурам".

опасался ставить что то подобное, но думаю стоить проверить, особенно те сайты что на dle и других системах. так как ставят обычно нуленки с шеллами.

Добавлено через 10 часов 24 минуты
а что за косяк у скрипта, я ставлю хороший пароль, запускаю скрипт, он мне пишет

Вы установили слабый пароль на скрипт AI-BOLIT. Укажите пароль не менее 8 символов, содержащий латинские буквы в верхнем и нижнем регистре, а также цифры. Например, такой ********

я копирую этот паролик, меняю там пару букв и он все равно пишет типа слабый паролик, че за бред )

поставил щас вообще длинный и не проканало, не один паролик не принимает )

Он вам предложил случайный пароль, который соответствует всем правилами безопасности. Используйте его, ничего не надо в нем менять.

Новая версия AI-BOLIT (кроме шуток)

Изменения в версии 20130401:

- Добавлен эвристический анализ обфусцированных скриптов (в тестовом режиме)
- Новые сигнатуры вирусов и шеллов
- Исправления ошибок (Спасибо Александру Кихаеву и Роману Петренко за вклад)
- Двухязыковый интерфейс (русский, английский)
- Добавлены файлы aknown для Joomla 2.5.9
- Добавлены файлы в .aignore и адреса в .aurlignore
- Много всяких мелких улучшений в алгоритмах определения вредоносного кода

Качаем здесь http://revisium.com/ai/

Новая версия скрипта AI-BOLIT

Изменения в версии 20130519

- Добавлены новые сигнатуры вирусов и шеллов
- Детектирование двойных расширений .php.<что-то>
- Добавлен аргумент -j (--file) для сканирования конкретного файла
- Добавлены .aknown файлы для Joomla 2.5.10, 2.5.11, 3.0.3, DLE 9.8
- Разные мелкие исправления

Качаем здесь: http://revisium.com/ai/

Новая версия скрипта AI-BOLIT 20130609:

- Добавлены новые сигнатуры вирусов и шеллов (все свежие из массовых взломов Joomla, DLE)
- Добавлен параметр -q, позволяющий выполнять сканирование без вывода в консоль лога. Выводит "1", если найдено что-то нехорошее. Сделано для автоматического тестирования на хостинге.
- Добавлен механизм перепроверки файлов с вредоносным кодом. При первом сканировании создается файл AI-BOLIT-DOUBLECHECK.php со списком файлов с вредоносным кодом, при втором запуске проверяются файлы только из этого списка. Также можно эту фичу использовать для проверки только определенного списка файлов.

Качаем здесь http://revisium.com/ai/

вот за это спасибо !