Здравей!
Джумлата специално не ми е от любимите цмс-и. Моят "вихър" е wordpress, макар че той уж за момента се води като най-податлив на подобни вируси. За съжаление не мога да ти кажа кой знае какво, защото нито следя темплейтите в джумла, нито компонентие, а в 90% от случаите проблемите се коренят именно там. За това как са влезли и са ти променили файловете можеш да се консултираш с хостинг доставчика си. Попитай ги за датата, за да ги насочиш къде точно в логовете да търсят информацията. Ако имат такива и ако не са пълни некадърници, би трябвало да успеят да ти кажат кой компонент, или файл са ползвали за да получат достъп до системата ти.
Също така, погледни и това което писах в темата и по-точно да откриеш "съседите ти". Дори и всички твои сайтове да са на джумла, това не значи непременно, че проблема е в теб. Напълно е възможно самият сървър да е бил рооткитнат и от там всички клиенти да са пострадали. Ако такъв е случая - теглиш си файловете, теглиш си бекъп на базата данни и при друг доставчик. Ако пък само твоите сайтове са заразени, сменяш пароли на фтп, бази данни, цпанел акаунта и се надяваш хостинга да ти каже от къде са влезнали. Също така сканирай компютъра от който си влизал с някой антивирус, възможно е да имаш кейлогър.
Надявам се няма да се сърдиш, но това мое съобщение ще го публикувам в темата, за да може при евентуални бъдещи такива промени, да не ми се налага да се повтарям.
