Сообщение Google: Вредоносное ПО на сайте - Безопасность сайтов на Joomla

Сайт на Joomla 1.5.14
Пароль от ftp меняла оба взлома, во второй раз ставили движок из панели управления. Через 15 минут в первом случае и через день во втором появились блокировки от Google.
Проковырявшись пол-дня, поняла, что слова "содержит элементы сайта bergaf.ru" появляются при открытии нового окна. Как на сайте _blank, так и в админке (html при редактировании кода материала).

Какие файлы движка лечить и какие права лучше установить (сейчас 555)?

Пароль от ftp меняла оба взлома, во второй раз ставили движок из панели управления. Через 15 минут в первом случае и через день во втором появились блокировки от Google.

1. Если троян сидит в машине администратора, пароль может утекать с той же скоростью, с какой он меняется.
2. Гугл не так быстро реагирует на удаление вредоносного кода, как Вам хочется. Если я не ошибаюсь, предупреждение Google исчезнет только после того, когда он повторно переиндексирует сайт и не обраружит вредоносного кода нигде.

Проковырявшись пол-дня, поняла, что слова "содержит элементы сайта bergaf.ru" появляются при открытии нового окна. ККакие файлы движка лечить и какие права лучше установить (сейчас 555)?

3. Нужно сделать контекстный поиск по всем файлам движка (в первую очередь имеющим название index.*). Начинать искать рекомендую со строк "iframе" и "bergaf.ru". Если не поможет, ищите "script" - только нужно хорошо понимать, где "правильный" js и где - "неправильный". Контекстный поиск лучше делать, скачав сайт на локальную машину - съэкономите кучу времени.
4. Изменения прав доступа не поможет - если крадётся пароль ftp, любые права можно сменить на любые другие.
5. Почитайте здесь.

Спасибо!
Судя по коду сайта, это скрипт. Поиск по содержимому пока ничего не дал (((
Пароль меняли с разных машин, при этом пароль нигде не сохраняли. Думаю, что виноват ЛИЦЕНЗИОННЫЙ NOD-32.
Ещё одно доказательство того, что лицензионное хуже ломаного!

Индексации ждать надо когда это сообщение (о вредоносном ПО) выскакивает несколько дней. Тем более, что там написано с какого сайта код. как только убераем этот код (особенно в первый день) сообщение исчезает. У меня сначала подгружалась страница сайта, а потом, поверх неё блокировочное окно.

Пароль меняли с разных машин, при этом пароль нигде не сохраняли.

Если это так, тогда возникает вопрос, где и как установлен данный сайт? Некоторые веб-студии "вешают" на один свой ftp-аккаунт по паре десятков сайтов. В этом случае достаточно "сломать" один сайт - и "летят" все остальные. Стоило бы помотреть логи ftp, чтобы понять, какой вариант взлома имел место.

Второе. Откройте html-код страницы, на которую "ругается" антивирус, и поищите в html-коде текст "bergaf.ru" - возможно, местоположение кода наведёт на мысли, что и где нужно искать. Если грешить на админку, посмотрите index.php шаблона админки.