Anni fa a me era capitata una cosa simile... Avevo installato un componente vulnerabile e gli hacker mi avevano caricato un sacco di cose sul mio hosting... Tra cui, ovviamente, anche quegli script per inviare email di spam e anche un sito farlocco di paypal, che probabilmente volevano usare per rubare i dati a qualcuno o roba così. Fortuna che me ne sono accorto in tempo e non ha potuto fare il cazzo che gli pareva.
Io ti consiglierei di procedere così:
Prova ad aprire sul browser quel file ajax (il top sarebbe farlo da un sistema operativo su virtual box, per evitare sorprese) e vedere cosa c'è, se c'è uno script per inviare mail di spam oppure una shell. Se c'è una shell, potrebbe essere quello il componente incriminato. Se non c'è una shell ma solo uno script per le email, è molto probabile che in giro per il tuo sito ci sia una shell. Trova la shell (attento, potrebbero anche essercene più di una) e controlla i componenti in cui risiedono quelle shell per verificare delle possibili vulnerabilità. Poi ricarica una copia backup di joomla non infettata (in pratica, una copia del sito che avevi fatto quando ancora non ti avevano infettato il sito.) Poi aggiornala all'ultima versione e risolvi la vulnerabilità che hai trovato. Io ai miei tempi avevo risolto così, ci ho messo una quindicina di giorni di smattamento per risolvere...
