Скрытое перенаправление мобильных пользователей - Joomla 3.x: Установка, обновление и настройка

Здравствуйте уважаемые форумчане!
Недавно случайно обнаружил (сообщил один из пользователей), что при заходе на сайт с мобильных устройств посетители перенаправляются на адульт сайт с платным контентом. Проштудировав файлы обнаружил вредоносный скрипт:
Удалил, сменил все пароли, но при проверке оказывается, что вирус появляется в файле домен/includes/defines.php снова. Подскажите пожалуйста, как с этим бороться и где может находится программа, которая вновь прописывает скрип в указанный файл.
 

Вычистить аккаунт полностью.
Закрыть уязвимости.

Или воспользоваться платными услугами

В каком смысле вычистить аккаунт полностью? То есть что предполагается сделать? 

Удалить шеллы из всех мест

А что такое шеллы?

Mnojitell, вас сайт заражен вирусами, требуется чистка и лечение, попробуйте бесплатные средства, например сканер ai-bolit, который подскажет, где что чистить, либо обратитесь в коммерческий раздел, процедура стОит от 1к до 10к деревянными (PS: не заинтересован в данном потенциальном заказе).

Значит если сайт не один на аккаунте, то надо  вычистить от вирусов все сайты, если они не изолированы.

Подскажите пожалуйста, как с этим бороться

Джумла обновлять вовремя, особенно когда выпускают релиз безопасности.

Несмотря на то, что обновлялся всегда вовремя, в систему каким-то образом были внедрены два вредоносных скрипта.
Скачал все файлы на комп и произвёл поиск по фрагменту скрипта перенаправления «Smarty3» в программе Notepad++.
Обнаружил следующие скрипты в директориях домен/modules/mod_articles_category/tmpl и домен/language/en-GB, идущие сразу друг за другом:
1. Smarty.php
2. AJAX.api.php

Теперь остаётся выяснить главное — как они туда попали.

А какая у вас версия джумла? Что установлено, сколько сайтов на аккаунтах?

Советую еще поискать по маске, начало в скрипте 2. AJAX.api.php

Сделал по совету draff проверку по маске и нашёл ещё один скрип Smarty.php со списком IP адресов компаний МТС, Мегафон, Билайн, Теле 2, стран Белоруссии, Украины, Азербайджана, Казахстана на которые, по всей видимости выборочно, и была направлена данная пакость.

Название файла «readme»
На всякий пожарный сделаю поиск по другим кускам кода. Вдруг ещё что-нибудь отыщется. 

Вот сервис комплексной онлайн проверки сайта на редиректы и на вирусы: https://rescan.pro./go.php

С помощью программы АЙБОЛИТ обнаружил ещё один редирект, прописанный по адресу домен/modules/mod_finder/tmpl/tmpl.php:
Кто-нибудь знает какое расширение джумла недавно взламывалось или ещё какие-нибудь уязвимости?

Да. Только это не гадается, а смотрится из того что установлено

такая статистика вряд ли ведется, и не факт, что это именно J или ее расширения были взломаны, иногда прилетает изнутри сервака, если ссайты не изолированы друг от друга

накатите дистрибутив J через фтп поверх, затем все установленные сторонние расширения установите поверх штатным способом, затем сравните файлы и папки движка и расширений на предмет наличия лишних файлов