Алексей, если сайт не слишком "тяжелый", то для начала советую сделать резервную копию сайта, скачать ее себе, распаковать и любым "хорошим" блокнотом (напр., Notepad++) сделать поиск по всем файлам сайта, например для текста "rim.ua" (без кавычек) - думаю, это приведет к понимаю, где находится внедрение этого кода на страницу. А дальше - в зависимости от ситуации. Если не получится, или не знаете как сделать указанное - пишите на i@sondr.ru, постараюсь помочь.
Алексей, если сайт не слишком "тяжелый", то для начала советую сделать резервную копию сайта, скачать ее себе, распаковать и любым "хорошим" блокнотом (напр., Notepad++) сделать поиск по всем файлам сайта, например для текста "rim.ua" (без кавычек) - думаю, это приведет к понимаю, где находится внедрение этого кода на страницу. А дальше - в зависимости от ситуации. Если не получится, или не знаете как сделать указанное - пишите на i@sondr.ru , постараюсь помочь.
Вообще подобные чистки проводятся комплексно. Т.е. сначала действительно надо смотреть где поставили код на этот раз (т.к. бывали случаи, что код ставился всегда в разные точки движка). Потом смотреть логи, искать каким образом поставили ссылки. Часто заливается для этих целей шелл, который кстати может быть тут же и удален, чтобы следы убрать.
Пару месяцев атакуют один мой сайт таким образом, а я безуспешно пытаюсь бороться. Пока помогает только защита административного раздела по айпи. Возможно вам бы помогло исправления всех ошибок, выданных сканером безопасности битрикс.
Еще очень важное, о чем многие забывают - не раздавать пароли доступа к сайту (в т.ч. в админку, FTP, БД, хостинг и возможно другие) всем подряд. Нам иногда поступают запросы, мол нужно доработать сайт, и в первом же сообщении от потенциального клиента мы видим доступ к сайту. Такого не должно быть. А после того, как вирус как-то попал на сайт, нужно удалить его код (если нашли) и обязательно сменить все пароли доступа.
В целом, паранойи не нужно, но и халатно относиться нельзя: человеческий фактор может свести на нет всю мощь антивирусного ПО.
1. Сменить пароль админа 2. Проверить кто в группе администраторов 3. Скачать известный тут скрипт поиска подозрительного кода, и проверить все что ему не понравилось. Вот ссылка Читать