shell kapatmak diye bir olay yok
büyük olasılıkla forumda avartar yüklerken php koduna izin vermişsindir oda oradan shell atıyordur avartar boyutunu küçült birde kaydedilebilir dosya uzantısını denetle . ftp ye attıgın tüm dosyaları antivürüs taramasından geçir içinde büyük ihtimal c99.php r57.php gibi dosyalar çıkabilir onları sil
Bunları yaptıktan sonra halen hackleniyorsan yapacağın iş hostcuna başvurmak olur çunki eğer bir site hackleniyorsa bunun %50 si site sahibinin suçu %50 si ise hosting şirketinin suçudur server rootlanabilir v.s v.s .vs .