Может дополнительно в .htaccess прописали, что .svg это теперь PHP-скрипт, или может svg участвует плотно в каком-то скрипте.
Так-то, обычно, да, если шелл залит, то его могут использовать снова и снова, надо проверить весь сайт, найти дыру и залатать.

Т.е. антивирусы без толку, если шел присутствует в файлах на хостинге? только вручную надо найти и почистить?

Это самый надежный способ. Для начала можно сравнить файлы версии на хосте с оригинальным дистрибутивом.

Особой нет веры в сайтовые антивирусы, ведь шелл обычный скрипт, любое маленькое изменение в нем и это уже не такой уж вирус, но искать вручную, как-то прикидывать где он может быть, да.

Вручную как уже говорили самый верный способ, хотя может быть и самый долгий, и не факт, что с первого раза все хвосты почистите, у моего хостера есть ПО, которое на автомате может латать дыры, хотя и не все, но все же.