В данном случае она может быть как в js скриптах cms так и в шаблоне, рекомендуется с начало проверить антивирусом(как встроенным в cms там можно найти файлы по дате редактирования, если взломщик не изменил это так и от хостинга(панели управления) ), если найти изменённые файлы удастся то или заменить из оригинального архива движка, а шаблон потом проверять вручную советую начать с файла main.tpl и всех js файлов шаблона, если нужна будет помощь пиши в скайп Spiker1401 помогу после 18 часов