Переадресация JavaScript'ом - Безопасность сайтов на Joomla

Добрый день уважаемые форумчане! Столкнулся со следующей проблемой: Сайт http://www.pokrovadv.ru/. Если на сайт заходить по прямой ссылке, проблем нет. Если через поисковик, то переадресовывает на http://www.fixru.myz.info/ Темы в форуме я почитал, на http://www.siteguard.ru/ пишет что вредоносного кода нет, virustotal выдал: Yandex Safebrowsing   Malware site. htaccess и index.php все посмотрел, подозрительного ничего нет. Попробовал восстановить из резервной копии от 10.01, тогда всё работало нормально, после востановления проблема не ушла. Более ранних копий нет. Дело точно в JavaScript, т.к. при его отключении из поисковика переходишь на нужную страницу. Подскажите пожалуйста, где копать?

нужно точно анализировать код. Интересная вещь. Для начала надо проследить последовательность отпраки трафика при переходе.
После чего началась проблема?
Пришлите htaccess поглядеть

Вот htaccess

сайт инфицирован. http://evuln.com/labs/www.fixru.myz.info/

не вы первые не вы последние, надо искать редирект в коде

сайт инфицирован. http://evuln.com/labs/www.fixru.myz.info/

не вы первые не вы последние, надо искать редирект в коде

А конкретнее про "где копать" можно? Просто тоже столкнулся с такой вот ситуацией:

Пытался удалить с сайта, но он себя тиражирует. Откуда течь?

Сканер в помощь, а потом чистить JavaScript
http://joomlaforum.ru/index.php/topic,198048.0.html

Столкнулся со следующим, в сканере строка: File: public_html/images/stories/greek.php
String:: default_action = 'FilesMan', а скачать этот файл не удаётся. Т.е. он скачивается, и сразу удаляется.

String:: default_action = 'FilesMan', а скачать этот файл не удаётся. Т.е. он скачивается, и сразу удаляется.

Вопросы к твоему антивирусу )) Это точно шелл.

Столкнулся со следующим, в сканере строка: File: public_html/images/stories/greek.php
String:: default_action = 'FilesMan', а скачать этот файл не удаётся. Т.е. он скачивается, и сразу удаляется.

вы его с хоста просто удалите

Поборол эту заразу! Скачал с сервера publichtml, проверил антивирусом(как и предполагалось он ругнулся на недавно созданные файлы, удалил их на сервере), потом запустил скрипт, просмотрел файлы, где он указывал угрозу eval(, и поубирал код типа: eval(base64_decode("DQplcnJvc...)); Этот код в самом начале файла, сразу после <?php. После удаления данного кода сайт заработал как положено.

Сканер в помощь, а потом чистить JavaScript
http://joomlaforum.ru/index.php/topic,198048.0.html

Какие основные скрипты надо почистить? в каких папках?