Как правило, в большинстве случаев, зараза подхватывается автоматом, то есть никто не ставил себе цель заразить конкретно ваш сайт. Обычно происходит это из-за того, что была найдена какая-либо новая уязвимость в скриптах и был запущен массовый прогон по большому числу сайтов на предмет эту уязвимость использовать. Чтобы не попадать в число счастливчиков настоятельно рекомендуется устанавливать все выходящие обновления вашей CMS.
Если все же избежать заражения не удалось, то вот план действий:
- в яндекс-вебмастере смотрим, какой именно вирус подхвачен;
- действенная штука - сервис "AI-Bolit - антивирус для сайта" - разворачиваем сайт на локальном диске, запускаем сканирование по инструкции;
- поискать в сети конкретные истории "успеха" а также лекарства от указанного вируса;
- если лекарств не нашлось или они не спасли, то в помощь нам придут резервные копии, сделанные в предыдущие периоды:
- схема такова: специальной программой (WinMerge, Beyond Compare) сличаем все файлы и папки на предмет изменений, отслеживаем все измененные файлы и внимательно их просматриваем;
- как правило, код вируса будет зашифрован чем-то вроде [eval + много цифр/букв];
- скорее всего зараженный файл будет типа .php или .js;
- файлов может быть и несколько и находиться они могут в соседних директориях, поэтому следует внимательно изучить их содержимое.
После успешного лечения обязательно стоит предпринять шаги по предотвращению повторного заражения. Т.к. если вы ничего не измените, то с большой вероятностью в течение 1-2 дней поймаете эту же заразу снова.
Рецептом может быть установка последних обновлений CMS, обновление модулей и компонентов, отказ от использования "дырявых" расширений, а также расширений, которые не обновлялись в течение долгого периода времени. В некоторых случаях потребуется смена всех паролей доступа к сайту.
P.S. Стоит отметить, что в некоторых случаях уязвимость вовсе не связана с системой защиты сайта, а элементарно ломается почтовый ящик, где хранятся все пароли-явки.