Мобильный редерект после взлома сайта - Безопасность сайтов на Joomla

Добрый день, обнаружил что сайт на J1.5 взломали и происходит мобильный редирект.
если убрать из шаблона

<jdoc:include type="head" />

то сайт работает корректно но  соответственно все теги не загружаются.

подскажите кто нибуть сталкивался с таким? и куда рыть?

подскажите кто нибуть сталкивался с таким? и куда рыть?

сталкивались и не раз
рыть в этом разделе, обсуждалось уже раз 100500

Ну так посмотрите в файле, который инклудится.

нету явного инклуда. все уже обыскал.
если в шаблон добавить
<jdoc:include type="head" />

тогда идет редирект . всю папку Inludes из корня.  залил чистую всеравно редирект идет

Значит есть неявный. Плагин может. еще что.

удалось решить проблему не до конца.

1) в Chrome на телефоне отк. поддержку JS и проверяем работу сайта
2) тем самым понимаем на чем редерект на JS или на php
2.1) в моем случае оказалось что JS
2.2) капаем дальше  замечаем что сайт работает если убрать из шаблона
<jdoc:include type="head" />
2.3) возвращаем на место и смотрим что же подгружает  <jdoc:include type="head" />  кроме тайлов и мета тегов.
2.4) все работает нормально если отк. motools.
2.5) проверяем  файлы 0:/media/system/js/mototools****.js  и caption.js
 
мне они не нужны я их совсем откл. на фронтенде. НО вот вопрос сами JS файлы чистые из дистрибутива с Joomla.org. заменил их но редерект не ушел.

то напрашивается вывод что гдето в PHP что то дописывается при подк. mototools

.htaccess проверяй
и ищи в коде что типа  UserAgent