realmente tinha mudado o problema de lugar, isso a uns dois meses atrás.
na epoca consegui retirar o virus instalando a versão mais nova 1.0.15. achei os arquivos infectados e so tinha ficado com o problema do cookie (que depois tambem resolvi instalando do zero o joomla)
agora fui ver o codigo fonte e notei que o index.php do template estava com um codigo:
document.write(""); que gerava esse cookie acima
esse link não é igual ao que estava por razões de segurança
então retirei-o e dei permissão 444. agora acredito que retirar o virus consigo normalmente vendo pela data via FTP arquivos diferentes. o grande é problema é como fazer com que este hacker volte a atacar.
Eu tmbm tive problrmas com uns turcos vagas que ficaram me sacaneando, tem um monte de coisas que vc precisa mudar, mas a principal é conferir os componentes que vc tm usado.
O site que estava sendo invadido estava com um componente que baixei do emule, pq ele tinha sido descontinuado. (tá bom eu sei que foi bestera) e que tinha um cavalo de tróia.
Depois de vc verificar os componentes. É bom outros processos, por exemplo, desligue os relatórios de erro, use um componente pra reescrever sua url, mude o lugar do arquivo configuration.php, entre outras coisas.
eu retirei um componente com_playercenter pois ele esta na lista de vuneraveis
http://www.milw0rm.com/exploits/5708 mas eu estava utilizando a ultima versão e acredito que este da lista é mais antigo
Rapaz, qual a versão do seu Joomla!?
Outra coisa, antes de ter enviado para o LocaWeb vc deveria ter dado uma revisão nos arquivos, pois se o arquivos que ele usa para invadir seu site continuar lá vc não resolveu nada, simplesmente mudou o problema de servidor.
é realmente devia ter começado do zero indo para locaweb, mas acabou q instalei o joomla 1.0.15 e so peguei o banco de dados e tal. agora como ele me invadiu novamente.. alem da index.php da template. nao sei como ele coloca arquivos em components e media
muito obrigado pela ajuda até agora. vou seguir alguns destes procedimentos
