Проблема с левыми ссылками - на решение не хватает мозгов - Joomla 1.0: Общие вопросы

Доброго времени суток всем!
Ситуация такая: недавно заметил, что на главной странице сайта висят не санкционированные мной ссылки. Причем висят хитро - на странице их не видно, видно только в html-коде. Стал разбираться и обнаружил, что эти ссылки подставляются из файла includes/patTemplate/patTemplate/Function/Xml.php . В дистрибутиве Joomla 1.0 такого файла нет. Пробовал удалить - файл магическим образом возникает сам из ниоткуда. Пробовал "подменить" его пустым файлом с таким же именем и расширением - файл возвращается к исходному состоянию. Пробовал менять его атрибуты - никакого эффекта. Головой понимаю, что какой-то гад торгует ссылками с моего сайта, и похоже, по ряду признаков, что через биржу linkfeed. Упоминаний об этом файле (Xml.php) больше нигде в файлах моего сайта нет. Не могу понять, как этот файл встраивается в страницу. Помогите, если можете, хоть добрым советом.
P.S.: FAQ читал, поиском пользовался, не только по этому сайту, но и по всему инету - ответов не нашел.

Есть небольшое дополнение... Если просто убить файлик (Xml.php), то он не появляется до тех пор, пока кто-либо не заглянет на главную страницу. Проблема пока не решена.
Уважаемые участники форума, посмотрите на свои сайты - может, у вас такая же история есть, а вы-то пока об этом и не знаете.

1.0 уже давно не поддерживается и держать на ней сайты не рекомендуется.

А по сабжу искать шелл, тема сотни раз поднималась.

Докладываю...
Попробовал втупую поискать слово "shell" во всех файлах сайта - никаких неясностей... Это слово дважды встречается в administrator\components\com_media\admin.media.html.php - в описании шрифтов, и один раз - в includes\patTemplate\patErrorManager.php, в комментарии разработчика.
Проверка скриптом "Айболит" (ai-bolit.php) показал, что в сабжевом файле includes/patTemplate/patTemplate/Function/Xml.php действительно размещен код по продаже ссылок. При этом во время данной проверки в файле includes/patTemplate/patTemplate/Function/Funcs.php "Найдена сигнатура шелл-скрипта. Подозрение на вредоносный скрипт". В дистрибутиве Joomla такого файла не было. После переименования этого файла в "old_" для проверки проблема, описанная в первом посте, исчезла. Спасибо, Voland, жму руку, и спасибо автору Ай-Болита!