hack base64 - código some - Joomla! 3.1.1

Bom dia, amigos!

Já aconteceu com vocês, de aparecer no site esse tipo de injection em páginas específicas, nesse caso só a de contato, em cima do título, e o código/link expira e some. Ele joga para esse endereço: "wordpress themes www[.]themeroulette[.]com", dificultando localizá-lo.

Já removi ele no formato que já conhecemos base64, em arquivos no template (templates/ja_mitius/html), mas agora esse código não está mais lá e não sei aonde possa estar mais, já vasculhei em arquivos dentro do libraries/joomla/document/html entre outros e nada.

Alguém tem uma ideia?

Estou usando o Joomla! 3.1.1.

Abraços

Me parece que seu site foi invadido e esta com um trojam, é triste quando isso ocorre....

Te recomendaria fazer o download de todos os arquivos para sua maquina local e utilizando o Dreanweaver, ou então recomendaria o Notepad++ e copiar tal codigo e colocar o programa procurar este codigo em todos os arquivos do seu site identificando onde ele possa estar.
Feito isso remova-o os codigos maliciosos e depois suba os arquivos limpos novamente.

Não se esqueça de sempre fazer backups frequentes por garantia, recomendaria que procurasse tomar medidas de segurança tambem.

Espero ter ajudado.