Вредоносный код, мобильный редирект - Безопасность сайтов на Joomla

Яндекс в паре с "проклятой" компанией Sophos (R) обнаружил вредоносный код у меня на сайте.
После непродолжительной переписки получил ответ:
"При последней проверке Вашего сайта наши алгоритмы обнаружили код, автоматически перенаправляющий посетителей на другие ресурсы при посещении сайта с мобильных устройств."
- толку от их "советов" ровно нуль.

Что сделал:
- поменял все пароли (фтп, админка)
- поменял htaccess на старый, чистый, поставил права 444
- удалил htaccess из корневой папки хостинга (откуда он вообще там взялся?)
- убрал все счетчики статистики (хот лог и правда выглядел как-то странно)
- удалил весь хэш, темп
- отключил Менеджер плагинов: Система - Перенаправление (я сам все ссылки расставлю)
- попробовал зайти с двух мобильных устройств - никуда меня не перенаправили
- проверил сайт на некоем сервисе  www.virusdie.ru (а вообще можно ли на сайт поставить антивирус или хотя бы самому как-то проверять периодически?) - все чисто.
- сайт работает полгода - проблема появилась впервые.

что еще...:
- модулей вроде Mobile Joomla на сайте нет
- хостинг от nic.ru
- собственно мне пользователи мобильных устройств мне вообще не нужны - если сайт не будет открываться на андроидах и пр. - я не расстроюсь.
- Joomla! 2.5.6
ну и сайт мой любимый: rogalev.ru - посмотрите исходный код, кто в нем разбирается)

как только сайт стал появляться в результатах поиска - тут же возникли проблемы.
архивная копия сайта, конечно есть - но 2-3 месячной давности, да и важно понять - как избежать такого "счастья" от яндекса

Отправил сайт на перепроверку.
Что еще можно сделать? КАК найти тот скрипт, который этот мобильный редирект вообще у меня прописал.
Буду благодарен любым советам. Я не программист, поэтому прошу советовать попроще)

Запустил fls.php. Вот результаты отчета - но что они означают?
--> Почитал, посмотрел, понял что вроде ничего страшного нет

PS Спасибо, что перенесли тему в раздел Безопасность.

Буду понемногу отчитываться в проделанной работе - может кому потом пригодится - или скажите, что я  делаю не так.

Любопытный код (base64_encode) нашел в файле web.config.txt
--> похоже что он тоже тут не при чем

а вот это наверно уже оно:
rogalev.ru/docs/administrator/components/com_media/views/images/view.html.php

далее скачал весь сайт, запустил BK ReplaceEm и стал искать "base64_decode", "eval", "base64"
удивительно много их нашлось в компоненте com_akeeba, но их пока не трогаю - просто на время удалю компонент.

еще один файл: docs/administrator/components/com_media/controllers/file.json.php

Но самый удивительный файл: docs/plugins/editors/jckeditor/ckeditor.js
21 случай вхождения "base64_decode", "eval", "base64"
и код выглядит примерно так (файл очень большой - здесь часть):

- Joomla! 2.5.6
ну и сайт мой любимый: rogalev.ru - посмотрите исходный код, кто в нем разбирается)

как только сайт стал появляться в результатах поиска - тут же возникли проблемы.
архивная копия сайта, конечно есть - но 2-3 месячной давности, да и важно понять - как избежать такого "счастья" от яндекса

код смысла нет смотреть нужен исходный, а он у вас на хосте в файлах
2.5.6 -> сменить на более свежею и следить постоянно за этим судьба у вас такая(я не противник новшеств но 2.5.* как выпустили сырой так и не залатают только в 3.5.* и не понятно когда)
результаты поиска не причем

мобильный редирект обычно сидит в файлах htaccess, *.php, *.js в любой форме, то на что вы думаете отношение не имеет к нему ни какого

P.S.
из темы понятно что вы хотите научиться и понять, если есть время и желание дерзайте!
но задайте вопрос оно вам нужно и пригодится ли в дальнейшем

Нужно и пригодится - но на уровне создания сайтов по готовым шаблонам, желательно отечественным, но нормальных шаблонов отечественного производства пока не встречал (((
Нужно научится обезопасить свои сайты - уж больно много сил и времени в них вкладывается. И если уж за что-то берешься - нужно это делать хорошо)))
(Вот бы мне на один денек любого из тех, кто пишет те скрипты, которые сайты взламывают... м... моя мечта - Интренет стал бы немного безопаснее)

На других (рабочих) сайтах просмотр кода сразу давал ответ - и можно было понять, куда прописался вирус - он просто проставлял ссылки на чужие ресурсы - и достаточно было просмотреть исходный код статьи и удалить лишний код.

А обновить до какой версии? Админка больше обновиться не предлагает.
Этот сайт переводить на 3 Joomla пока смысла не вижу - надо новый хостинг - nic не поддерживает одновременно php4 и 5 для разных сайтов, да и пробовал - проще новый сайт сделать.

Если в течение одной-двух недель сам не разберусь - тогда побегу к экспертам.

То, что я двигался не совсем в верном направлении, - это я уже понял.
Нашел тут у вас такую штуку: AI-Bolit. Почитал ваши споры с ним, но сайт просканировал.  Результаты отчета (дублирующиеся) сократил

Кое-что нашел - скрипты, которые лежат в images и media
нашел опять-таки по вашей ссылке: http://forum.hackersoft. ru/ showthread.php?t=6324

PS
Хуже всего то, что Яндекс обвиняет мой сайт в мобильном редиректе. Проверил со всех устройств - редиректа нет.
Я понимаю, что Яндекс и софос заинтересованы друг в друге, но не понимаю смысла.
Пока нет результатов повторной проверки сайта софосом, хотя робот яндекса заходит каждый день.

Что сложно - всегда сложно найти специалиста в области, в которой у тебя не "связей" или "друзей" - идет ли речь об автомобиле или сайтостроении. В Интернете несложно найти людей, которые оказывают услуги по безопасности сайтов - но как проверить их компетентность и быть уверенным в результате? Я не против заплатить и за шаблон, и за безопасность в разумных пределах - но вот не придется ли потом все переделывать? Как специалист по дизайну, рекламе, фотографии я знаю, как часто "коллеги" на ровном месте задираю цены - а потом при подготовке к печати приходится все переделывать.
Извините за флуд - "накипело" )))

Результат проверки shellfinder.php

Удаление этих файлов к сожалению приводит к умиранию сайта,
можете подсказать - есть ли код в HTML.php?