Если Google ругается на вредоносное ПО - Безопасность сайтов на Joomla

Вопрос ко всем, кто разбирается. Google заблокировал сайт. Выдал страницы где видит вреданоса. Там я нашел подозрительный скрипт   <script type="text/javascript">
/* BEGIN AG Google Analytics Plugin v.1.0.8 */
var gaJsHost = (("https:" == document.location.protocol)? "https://ssl." : "http://www."); document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E"));
 </script>
 <script type="text/javascript">
 try { var pageTracker = _gat._getTracker("UA-40874002-1");  pageTracker._setCustomVar( 1, "user_ip", "89.235.198.36", 1 );  pageTracker._trackPageview();
 } catch(err) {}
/* END AG Google Analytics Plugin v.1.0.8 */
/* ========== www.gordejev.lv =========== */
При этом товарища Гордеева не кто не приглашал. Его плагин не устанавливали. Что это за хрень?  Скрипт от SECU.RU far.php не может ни чего найти. Что это значит? Если скрипт выводиться значит он где-то есть, почему скрипт не находит совпадение? В чем тогда смысл скрипта?  Бред какой-то.
В общем вопрос по поводу разного вредоносного кода мешающего жить спокойно. Форум именно для этого и создан что бы решать текущие проблемы, на сколько я понимаю. А что решать? Спрашивается… С вредоносами все предельно ясно. Есть файлы и есть там код. Есть несущий и левый. Все! Надо решить какой левый, в каких файлах скрывается, сохранить отражение для BackUp и все левое удалить. В пределах 15000 файлов которые однозначно никто в ручную перебирать не будет, нужно найти то решение, которое поможет оптимизировать и сократить время на поиск вредоносного ПО, то чем пользуются специалисты. Вот и все. Есть скрипты всем известные выявляющие вредоносные файлы fls.php и far.php Отлично! Я так понимаю скрипты типа OSE Antivurus и Kaspersky Kristal в расчет не бороться, поскольку не фига не увидели из того что я им скормил, Google продолжает ругается. OK. Что дальше? fls.php выявляет подозрительные файлы. Среди них файлы Joomla которые легко проверить на отличие от оригинала и сторонних разработчиков которые уже изначально могут иметь ***код. Вопрос к затокам! Как определять этот код предположительно вредоносный и потом проверить его так что бы все-таки найти его и тот файл где он прописан. Уверен этот вопрос интересует осолютно всех, тем более сейчас в свете последних событий, когда вредоносным кодам стал пользоваться от молодых обдолбанцем до вполне сознательных людей типа Гордеева.

В шаблоне нет кода гугл-аналитикс? А в менеджере модулей, плагинов ?
Joomla чистая или скачанная сборка/квик-старт ?
п.с.
В основном Google ругается на вставки в JavaScript. Проверяй файлы JavaScript

проверил на этом ресурсе http://antivirus-alarm.ru/proverka/
антивируса, а их там порядка 3 десятков не выявили ни одного вируса но система показала 2 сомнительных кода м точки зрения Google.
Один прятался в modules/mod_rokajaxsearch/js/rokajaxsearch.js я это модуль отключил временно, но не понял, что именно там сомнительного.
Второй в Widgetkit twitter в файле .js который появляется в папке Caсhe и имеет весьма характерные признаки t.co/дальше код и ссылка на Tayota Corolla. Так же отключил модуль. Сейчас сделаю запрос на сканирования Google. Посмотрим что они скажут. О результатах отпишусь.

Кстсти кто встречался с подобныбно гадостью, скажите какой файл транслирует в cache эту гадасть. Нужен источник заразы, но я его пока не обнаружил.

Нужен источник заразы, но я его пока не обнаружил.

Обычно шелл не один в файлах. Начиная от .htaccess , index.php в общих папках и до вредоносного кода в картинках.

Успокоили. Спасибо. Вопрос как их теперь обнаружить. Какие средства и что конкретно искать. 

Установил jhackguard Он пишет. Как правильно читать логи? Поскажите.

2013-10-20T14:25:31+00:00   CRITICAL   jhackguard   Changed COOKIE value from:{\"mID\":\"LMdE1UMvFtvT6U\",\"sid\":\"131020.145388.2jXvBzw4\"} to:{"mID":"LMdE1UMvFtvT6U","sid":"131020.145388.2jXvBzw4"}

Google уперся рогом. Пишет, что я заразил сайт 1 штука (ну это просто террор), но прикол в том что это был мой сайт, на который я скопировал тот же контент, поскольку сайт шел на слом, вместе с доменом, а в выдачи он уже был на хорошем счету, вот я и пожадничал. Не надо было этого делать. Жалею. Содержание домена, который шел на слом был заражен жостером и Google его уже месяц пас, я же бросил воевать и с тем и с другим, поэтому и пустил все на слом, но под конец решил обновить сайт. Сделал BackUp чистого и дублировал туда. После этого, сразу Google меня и забанил. У кого ни будь была такая нелепая ситуация? Я так понимаю я больше времени потеряю на реставрацию. Придаться сайт сделать с нуля. Блин.  Вопрос. Я теперь хочу всю базу по клиентам вывести на поддомен и решить вопрос этой секции просто через меню на сайте. Мне этот блок в выдачи все равно не нужен. Там все под регистрацией скрыто. Кто подскажет, не получится ли опять такая глупая ситуация как только я их соединю через меню Google сразу припишет заражение?