Gracias neotrix y gatocano. Al final lo que sugirieron ambos me sirvió de mucho.
Encontré un troyano detectado por avast que no podía “reparar” automáticamente, pero revisando el tipo de archivo, que todo coincidía con archivos en todos los directorios con la misma estructura y forma, con nombre 8273.php donde el nombre cambiaba de manera aleatoria.
Decidí eliminar todos estos archivos ajenos a joomla, reemplacé el directorio Administrator de una instalación nueva y con eso parece que el sitio quedó limpio. Sin embargo, no canto victoria, creo que las vulnerabilidades ahí sigue, pero trataré de tomar un respiro para seguir trabajando en ello.
Seguimos pendientes para cualquier aportación! que finalmente ahora ustedes me salvaron de esta!! saludos.