Gracias, Larenz.

Probé a desmontar la web del servidor, bueno, dos webs en las que uso el componente AUser, que sí, es un componente para registro de usuarios, pero eso no solucionó el problema, por lo que descarté que sea el AUser. El usuario no se ha vuelto a registrar desde que efectivamente exijo confirmación de cuenta. Solucionado esto y descartado el auser, pienso que el registro de el tal cialis fue sólo una coincidencia y el problema está en algún otro lugar.

El caso es que me estoy pasando las noches en vela desmontando webs del servidor a ver en qué momento se soluciona el problema para acotar la búsqueda del dichoso código que está enviando emails desde el servidor, que ya me han escrito de hostmonster diciendo que hago spam. El caso, y el punto al que voy, es que no encuentro nada raro, ningún archivo extraño y he buscado mucho. Pero he visto que en el módulo login de joomla se me coló la ruta a servidor local:

<form action="../../../../../../../Joomla-1.5.3-spanish/modules/mod_login/tmpl/index.php" method="post" name="login" id="form-login">

en vez de <form action="index.php" method="post" name="login" id="form-login">

Pregunta: ¿es posible que por ahí se me cuelen de alguna manera? es decir, que por medio de algún programa en el equipo del spamer se meta a mi servidor por medio de esa ruta, sin necesidad de que exista un archivo dentro de mi hosting?

Un saludo.