descarga todo y pasalo por un antivirus
tambien prueba actualizar el joomla pues hay muchos que no son buenas versiones y dejan colgar codigo malicioso.

si ip tables esta cerrado pues es 100% seguro que es un script.
consejo adicional colocar ssl y validacion al server smtp en lugar de bloquearlo por ip tables.

echa una busqueda en el server con grep para que veas si puedes encontar el script corrupto
http://enlinea.creaelicita.cl/wordpress/?p=102