Это и есть вирус, куки ваши стянули, вероятно вы там логин и пароль хранили)))))
Юзайте strip_tags, htmlspecialchars и им подобные.
Не храните никакой важной информации в куках, максимум информация о браузере и прочее, что не несет в себе потенциальной угрозы. Куки самое незащищенное место. А в этом скрипте якобы подгружается картинка средствами js, но на самом деле передаются ваши куки (то есть куки админа).
