IFRAME accounts.google.com вставка кода - Безопасность сайтов на Joomla

<iframe name="oauth2relay134002800" id="oauth2relay134002800" src="https://accounts.google.com/o/oauth2/postmessageRelay?parent=http%3A%2F%2Ftirazh.com.ua#rpctoken=221349923&forcesecure=1" style="width: 1px; height: 1px; position: absolute; left: -100px;"/>

вот такой код стоит на сайтах у меня. как давно не знаю.
что это такое? как и где убрать если это кто-то взломал

спасибо

Обычная ссылочная реклама. Ищите вредоносный код у себя на сайте. Начните с шаблона, проверьте в каком месте он выводится. Может в модуль какой встроен код.
Можете воспользоваться бесплатными сканерами http://www.site-security.ru/nash-pervyj-skaner.html
или http://revisium.com/ai/
которые проверят файлы вашего сайта на вставки "левого" кода.

поставил сканер:
File: /home/ross/public_html/administrator/templates/hathor/html/com_finder/index/default.php
String:: confirm(

File: /home/ross/public_html/administrator/templates/hathor/html/com_finder/filters/default.php
String:: confirm(

File: /home/ross/public_html/administrator/templates/hathor/html/com_finder/maps/default.php
String:: confirm(

File: /home/ross/public_html/administrator/templates/hathor/html/com_users/groups/default.php
String:: confirm(

File: /home/ross/public_html/administrator/templates/hathor/html/com_menus/menus/default.php
String:: confirm(

File: /home/ross/public_html/administrator/components/com_finder/views/index/tmpl/default.php
String:: confirm(

File: /home/ross/public_html/administrator/components/com_finder/views/filters/tmpl/default.php
String:: confirm(

File: /home/ross/public_html/administrator/components/com_finder/views/maps/tmpl/default.php
String:: confirm(

File: /home/ross/public_html/administrator/components/com_joomlaupdate/restore.php
String:: $_POST[

File: /home/ross/public_html/administrator/components/com_users/views/groups/tmpl/default.php
String:: confirm(

File: /home/ross/public_html/administrator/components/com_k2/lib/class.upload.php
String:: phpinfo()

File: /home/ross/public_html/administrator/components/com_k2/views/usergroups/tmpl/default.php
String:: confirm(

File: /home/ross/public_html/administrator/components/com_k2/views/categories/tmpl/default.php
String:: confirm(

File: /home/ross/public_html/administrator/components/com_k2/views/items/tmpl/default.php
String:: confirm(

File: /home/ross/public_html/administrator/components/com_k2/views/comments/tmpl/default.php
String:: confirm(

File: /home/ross/public_html/administrator/components/com_k2/views/tags/tmpl/default.php
String:: confirm(

File: /home/ross/public_html/administrator/components/com_k2/views/extrafieldsgroups/tmpl/default.php
String:: confirm(

File: /home/ross/public_html/administrator/components/com_k2/views/users/tmpl/default.php
String:: confirm(

File: /home/ross/public_html/administrator/components/com_k2/models/comments.php
String:: $_POST[

File: /home/ross/public_html/administrator/components/com_menus/views/menus/tmpl/default.php
String:: confirm(

File: /home/ross/public_html/administrator/components/com_virtuemart_allinone/admin.virtuemart_allinone.php
String:: confirm(

File: /home/ross/public_html/administrator/components/com_virtuemart/views/orders/tmpl/order.php
String:: confirm(

File: /home/ross/public_html/administrator/components/com_virtuemart/views/updatesmigration/tmpl/default_tools.php
String:: confirm(

File: /home/ross/public_html/libraries/tcpdf/tcpdf.php
String:: c100

File: /home/ross/public_html/libraries/tcpdf/pdf417.php
String:: c99

File: /home/ross/public_html/libraries/joomla/environment/request.php
String:: $_POST[

File: /home/ross/public_html/libraries/joomla/html/toolbar/button/confirm.php
String:: confirm(

File: /home/ross/public_html/components/com_users/controllers/reset.php
String:: confirm(

File: /home/ross/public_html/components/com_k2/models/item.php
String:: $_POST[

File: /home/ross/public_html/components/com_mailto/controller.php
String:: $_POST[

File: /home/ross/public_html/components/com_virtuemart/controllers/cart.php
String:: confirm(

File: /home/ross/public_html/plugins/vmpayment/heidelpay/heidelpay/heidelpay_response.php
String:: $_POST[

File: /home/ross/public_html/plugins/user/k2/k2.php
String:: $_POST[

File: /home/ross/public_html/plugins/system/nnframework/helpers/assignments/homepage.php
String:: $_POST[

File: /home/ross/public_html/modules/mod_rapid_contact/mod_rapid_contact.php
String:: $_POST[

File: /home/ross/public_html/modules/mod_sj_vm_extraslider/core/class/field/imagefunctions.php
String:: NCC

вычеркул что удалил с сайта
но IFRAME так и не нашел. и не удалил его.

висит перед самым окончанием кода,
но его видно только в Просмотр элемента в Opera. как код страницы его не видно.

Первые 2 зря удалили, это стандартные файлы модуля VirtueMart, можете сами скачать свежий дистрибутив и убедиться в том что эти файлы оттуда и на них также будет ругаться сканер. По сути на работоспособность интернет магазина эти файлы не влияют, так что смотрите нужны они или нет.

но IFRAME так и не нашел. и не удалил его

его в js файлах искать или в php закодирован base64

прошелся по всем php js . искал eval , base64.
какие еще искать словосочетания.
нужно найти т.к. у меня 4 сайта таких на одном темплейте стоят .и везьде этот код

И отключи на время cURL , и посмотри

в js дописка сверху /***/код/****/ или снизу после ;

на сайте стоит код от GOOGLE+  страница+. это он . все я нашел его.

Как и чем Вы искали. Пожалуйста подксажите.

Это не вирус и не плохой код,
все чисто от Гугла+

искал в Opera в Драгонфлай  (проинспектировать элемент)
и там Ресурсы
в скриптах и в Катринках нашел