Избавиться от вирусни, которая не выводится даже с помощью обновления версии до последней можно поставив свежий движок последней версии и подключив его к существующей датабазе.

1. !Прежде, чем что-либо начинать, составьте список всех установленных модулей и найдите их дистрибутивы. Часть может лежать в папке /downloader/.cache/community
2. Закачать в корень дистрибутив Magento (версия должна совпадать с текущей версией установленной Magento). Например, ver 1.9.3.7 — https://magento.com/tech-resources/download#download2132
3. Разархивировать его (все упадет в папку magento)
4. Зайти на имя_сайта/magento, установить движок использовав владельца, имя и пароль существующей базы данных. https не испоьзовать, revrites использовать, урл на проверять.
5. Поменять все права доступа на 755 для директорий и 644 для файлов.
6. Скопировать в новую директорию:
• файлы-идентификаторы счетчиков;
• robots.txt;
• sitemap;
• favicon;
• свои изменения в скине;
• catalog/, wysiwyg/, slider/ из media/
7. Модули ставятся не через админку, а напрямую распаковываются (те же версии, что и на старом) в новую директорию. Ибо в конфигурации прописано, что они уже стоят.
8. После установки каждого модуля (чтобы он стал виден) обновить кэш, возможно выйти-войти в админку;
9. !Все проверить на предмет идентичности со старым сайтом
10. После обновления кеша в новой версии сайта админка старого сайта будет перекидывать в новый, а спустя некоторое время и браузер вместо старого сайта начнет подсовывать новый, так что действовать надо быстро
11. В админке поменять secure и unsecure url на нормальный (без magento/)
12. !После этого админка станет недоступна.
13. Перенести все содержимое папки magento в корень сайта, а бывшие там ранее файлы перенести в папку, например, old, скачать себе на комп эту папку, а на сервере убить
14. Обновить кэш
15. Для предотвращения дальнейшего заражения поменять везде, где только можно пароли