Хакнули сайт залили редирект локер

Сайт на DLE 10, висел себе нормально, но увидел на нем локер с разводом от Роскомнадзора.
Т.е. при переходе на сайт с поиска, открывается соседняя вкладка вот с такой херней: http://prntscr.com/9rw85v
Локер открывается только 1 раз на 1 пк, потом больше не откроешь, даже с другого IP и если чистить куки.
Пол дня просидел чтобы найти где эта фигня спрятана. Так и не нашел!
Проверял в шаблоне - Чисто
Проверял htaccess
Проверял утилитой от ai-bolit - тоже ничего конкретно не нашел,
Так по фаилам движка просмотрел, тоже ничего не обнаружил.

Я уже не знаю где может эта хрень прятаться. Кто может помочь?

 

Не могу обновиться движек 100раз был перепиленый

 

Да уж, это точно. Я вот только не пойму как этот локер там оказался, если по статам в фаилах не было изменений. Или он уже дано там в движке сидел, а сейчас активировали.

 

Самое фиговое что увидеть его можно только 1 раз, на одной машине. Т.е. вносишь изменения а проверить уже не где все ПК закончились у меня) Куки не помогает сносить, IP тоже. Похоже они записыват к себе какието доп данные чтобы не показывать, еще раз.

 

Вылечил! Просто заменял аккуратно фаилы в движке некоторые на оригинальные. В том то косяк, что даты тоже подделали видимо, т.к. вывел список изменнных фаилов за последнюю неделю и там ничего не обнаружил аномального.

 

Как обезопасить DLE вот некоторые действия стоит сделать: http://wiki.friendhosting.net/index...0.B2.D0.B5.D1.82.D1.8B_.D0.B4.D0.BB.D1.8F_DLE