Скрипт iframe с переадресацией на сайте - Безопасность сайтов на Joomla

Сайт http://тонировка54.рф

Joomla 1.5.26
Запрет на изменение по фтп стоит, доступ на запись папок закрыт.

Скачивание всех файлов и баз и их проверка  антивирусами, а так же вручную всех скриптов и основных блоков результатов пока не дала. Однако когда проверяешь сайт через онлайн сканеры вирусов, он четко распознает трояна, так же ругается и касперский при открытии самого сайта на Trojan-Downloader.JS.Iframe.czd

Код скрипта:

Нашел похожее в топике раздела форума: http://joomlaforum.ru/index.php/topic,132330.0.html
Нашел что то похожее на хабре: http://habrahabr.ru/post/136771/

Подскажите как найти этот хитрый скрипт с переадресацией, возможно это какая-то инъекция

скрипт в подписи про сканируйте/посмотрите
ищите shell через который заливают вам мусор

Перехожу по ссылке

Нашел что то похожее на хабре: http://habrahabr.ru/post/136771/

Аваст ругается.

скрипт в подписи про сканируйте/посмотрите
ищите shell через который заливают вам мусор

Спасибо за ответ.

В какой именно подписи, где это посмотреть?

С shell'ами тоже пожалуйста поподробнее и где их искать?

Перехожу по ссылке Аваст ругается.

Возможно на код размещенный в тегах

В какой именно подписи, где это посмотреть?

Сканер поиска Shell and BackDoor
http://joomlaforum.ru/index.php/topic,198048.0.html

Сканер поиска Shell and BackDoor
http://joomlaforum.ru/index.php/topic,198048.0.html

Нашел кучу шеллов, все удалил или заблочил.
Но как найти сам злосчастный скрипт, он видимо зашифрован?

Но как найти сам злосчастный скрипт, он видимо зашифрован?

Так в начале файла

Так в начале файла

Код

 $login=""; $md5_pass="";

В каком именно файле?

В каком именно файле?

у каждого по разному.Сканер в помощь.