nelson

Спросил у автора в личке адрес сайта, посмотрел. Там действительно в конце javascript файлов (всех) есть строка которая начинается с:
document.write(unescape(
все эти строки надо убрать, а директорию где они лежат — закрыть на запись от имени юзера под которым работает веб-сервер. Если папка создавалась по ФТП — обычно достаточно выставить права 775.
(а дата изменения файла легко подделывается, поэтому вы и не стали туда смотреть — а зря)

И скорее всего у вас залит веб-шелл, его тоже можно поискать — скачиваете себе копию сайта и ищете в РНР файлах следующее:
eval(
/.*/e
passthru
(эти строки могут и в обычных файлах встречаться)

Но не факт что найдете все шеллы так, поэтому для надежности желательно удалить все файлы, кроме картинок, и заново установить последнюю версию Джумлы (и всех плагинов которые у вас стоят).
И правильно проставить права на папки — в тех папках, в которые может писать вебсервер, надо запретить исполнение PHP файлов:
php_flag engine 0
в файлике .htaccess в этих директориях.

Зависит от того — они на одном сервере (или рядом) или нет.
Если не на одном:
Сделать на втором магазине страницу-«приёмник», и при изменении данных на первом — отправлять POST-запрос с новыми данными (если ваши сервера это позволяют, конечно). Страница приёмник должна проверять откуда пришел запрос (какой то секретный ключ, проверка ip адреса), его целостность — и затем обновлять у себя данные.
Если на одном:
использовать общую базу данных или файл по заданному общему пути.

Да вообще решений много, вы бы уточнили условия.