У меня аналогичная проблема.
Аваст даёт следующие названия:
PHP.Agent-MN
PHP.Decode-DJ
PHP.shell-HZ
Я не смог точно найти лазейку, через которую заражается сервер. Знаний PHP у меня, увы, не хватает чтобы понять как работает этот зловред. Восстановил файлы из старого бэкапа и обновил Joomla до последней версии - не помогло, буквально через три часа работоспособность сайта вновь была нарушена, это вывело меня из себя и я попробовал копнуть глубже.
Я выяснил, что зловред создаёт рандомные (по всей видимости) файлы в системных папках Joomla, в которых закодировано содержимое основного кода вируса. Кодировка не особенно заумная, бывает либо base64, либо кодировка unix-символами, однако так как она получается рваной, логика работы от меня ускользает, да и лень мне всё воедино собирать - весь код этой дряни аваст не ищет, так как очевидно, не во всех файлах есть зловредный код. К тому же эта скотина умеет подмешивать части своего кода в системные файлы joomla, это усложняет поиск лишнего кода. Помимо прочего, он модифицирует главный файл index сайта. Насколько я понимаю, он делает из него нечто вроде лаунчера, который запускает что-то собирающее остальной код воедино из частей, разбросанных по всем директория. Также, даже если сайт не использует htaccess, зловред добавляет его в корень сайта. Помимо прочего в SQL-базе jooml'ы появилась подозрительная запись в разделе сессий пользователей, я её тоже удалил.
Исходя из всего что мне удалось выяснить, я думаю что как минимум часть операций производится вручную.
Я не нашёл пока нормального лечения этой проблемы. Однако изменил права на папку в которой находится корневой каталог сайта и файлы, лежащие в корне сайта - везде 0444.
Я подозреваю что косяк тут в конфигурации у хостера, так как попытки изменения index.html были даже на статичном сайте. Однако, видимо поняв, что результата это не даст (сайт-то статичный), изменения были отменены.
Однако в одном из файлов есть unix-команды, что наводит на мысль об уязвимости в конфигурации сервера. У вас, случайно, не на NIC-RU хостинг?
Было бы круто, если бы кто-нибудь помог разобраться с этой заразой. Я сохранил несколько файлов для анализа.
