Tal vez alguno tenga alguna experiencia más directa pero leyendo tu información es muy posible que se hayan hecho con el acceso a tu Joomla. Me refiero que alguien puede acceder a tu Joomla de alguna forma ilícita. Para mí la prueba está en que dices que borras el usuario y por arte de magia vuelve a aparecer.

Saca lógica al asunto: envío de emails... spam... ¿cómo pasa algo así? Simplemente este usuario con el nombre de viagra es el que usa tu server para enviar seguramente spam relacionado a su mismo nombre. Es lo más probable que eso pase.

Yo actualmente no tengo un sitio propio, pero en los sitios de clientes que administro he visto emails sospechosos y directamente procedo a borrarlos, especialmente cuando su terminación es [email protected] (Rusia). Otra cosa que pasaba es que se registraban muchos usuarios con nombres parecidos y nunca lograron confirmar su email. Posiblemente haya algún agujero de seguridad en Joomla que pueden controlar el envío de emails de alguna forma con sólo registrarse.

Sea como sea lo que deberías de hacer es borrarlo nuevamente y cambiar contraseñas para ver que sucede. Cambia los datos de acceso a tu Joomla a ver qué pasa.

Ahora que lo recuerdo una de las primeras webs que hice fue hackeada. Sí, al abrir el sitio noté que tardaba demasiado en cargar. Luego en ese entonces con mi poca experiencia procedí a ver el código fuente del index.php y noté que había una decena de línea de código extra que hablaba cosas relacionadas a la viagra. Era spam de código oculto en el sitio web que menos mal que lo descubrí. Seguidamente lo borré y cambié usuarios de acceso. Periódicamente estaba revisando el index.php del sitio y otros archivos más para ver si había algo extraño pero parece que no sucedió.

Bueno, espero nos comentes lo que vaya sucediendo a ver qué podemos aprender de esto.

Saludos!!!