На сайте Joomla 3 появилась реклама от RtbSape, как убрать? - Joomla 3.x: Установка, обновление и настройка

Всем привет! Клиент обнаружил что на сайте стала иногда вылазить реклама внутри тега <body> между блоками, с подписью "Реклама от RtbSape". Первым делом попробовал откатить резервные копии и оказалось что вирус уже присутствовал в них... Показывает рекламу не всегда, обычно при первой загрузке сайта. Пробовал запустить проверку на вирусы с хостинга - ничего не показало. Скачал архив с сайтом и скачал модуль AiBolit но не пойму как его запустить из терминала на Mac OS X. Подскажите пожалуйста как это сделать по шагам.

1. В архив сайта поместил файлы из папки /ai-bolit/
2. Открываю терминал и указываю команду перейти к папке с сайтом cd /ПУТЬ_К_ПАПКЕ_С_САЙТОМ
3. Ввожу команду из инструкции php ai-bolit.php --mode=1
4. Выдает ошибку Could not open input file: ai-bolit.php
5. Пробую указать php ai-bolit-hoster.php --mode=1 (так как файла ai-bolit.php в папке не было, а был ai-bolit-hoster.php)
6. Выдает ошибку Parse error: parse error in ../ai-bolit-hoster.php on line 811

Подскажите как правильно это сделать? Заранее спасибо огромное!

Пробую сделать то же самое на Windows 7.
1. Копирую папку с сайтом и айболитом в корень диска C
2. Открываю командную строку и ввожу cd C:\public_html
3. Ввожу команду из инструкции php ai-bolit.php --mode=1
4. Выдает ошибку Could not open input file: ai-bolit.php
5. Ввожу команду php ai-bolit-hoster.php --mode=1 (так как файла ai-bolit.php в папке не было, а был ai-bolit-hoster.php)
6. Ничего не происходит

Ну и вообще что вы знаете об этом вирусе, или других способах проверки и вычищения. А главное – как защититься на будущее?

Ну смотри, если это в коде сайта какая-то строка, то открываешь в инспекторе, смотришь, что за блок - смотришь, где он в вёрстке, либо, если он динамически добавляется, комментируешь все скрипты в index и смотришь, остаётся или нет. Либо моя версия, что это вот такая фигня: https://m.habr.com/ru/post/493402/

Это не вирус, это кто-то имевший доступ к сайту решил подзаработать. Просто вставил код в шаблон (если имел доступ к админке, то мог не заморачиваясь и плагин саповский установить) и теперь капает ему денюжка.
Тут два пути - первый это крепко подумать кто доступ к сайту и к ftp имел? И сменить пароли. Хулигану надавать по ушам.
Второй, более неприятный вариант, что взломали доступы. Тут и вариант простого пароля к ftp "12345" или админке, и вариант трояна на компе клиента, который уводит пароли.
В общем я бы вначале проверил админку (плагины, и есть компонент SAPE, поиск покажет). Затем просто поискал и index.php шаблона вхождение sape.

Ну и вообще что вы знаете об этом вирусе, или других способах проверки и вычищения. А главное – как защититься на будущее?

У вас провайдер РОСТЕЛЕКОМ?
И в каких браузерах проявляется проблема?

У вас провайдер РОСТЕЛЕКОМ? И в каких браузерах проявляется проблема?

провайдер РОСТЕЛЕКОМ...  Chrome и мазила.  Они сажают эту хрень на все сайты где нет рекламы. Переход на HTTPS ничего не решает.  Можно писать на своих сайтах - "Если вы видите данную рекламу - отказывайтесь от провайдера РОСТЕЛЕКОМ". Она так-же мешает работе скриптов jQuery ... Типа если всплывает окно для заказа, то реклама может его закрывать.