Hallo "hechtnetz" und Christiane,
danke Euch für die Informationen. Ladys first: Christiane, dann gehe ich davon aus, dass es einen administrativen Zugang zu dem System gegeben hat, denn zu TinyURL wird ebenfalls Bezug genommen. Ich sehe das wie "hechtnetz", das System ist aus meiner Sicht nicht mehr zu retten und der Aufwand den Fehler auszumerzen (was sicher kaum möglich ist), ist eh größer, wie das System komplett auf Basis 3.6.4 neu aufzusetzen. Es ist schon erstaunlich, welchen Aufwand die Herren oder Damen betrieben haben.
Beispielsweise habe ich noch einen gut versteckten Eintrag in der "index.php" im Stamm-Verzeichnis gefunden. Versteckt insofern, dass sich der Code ganz am rechten Ende der Seite nach <? php anschließt und dann nach vorgestellten Leerzeichen (dadurch ist er nicht sofort sichtbar) die Anweisung mit eval(base64_decode("aWYgKCFkZWZpbmVkKCdBTF........ beginnt. Der anschließende einzeilige, verschlüsselte Code ist ewig lang. Er füllt fast den ganzen Bildschirm. Nach meiner Kenntnis hat "eval" die Aufgabe zu decodieren und php-Skript auszuführen.
Das Problem ist eigentlich die Datenbank. Auf die Formulareinträge kann ich verzichten, aber die Kundenbewertungen muss ich erhalten. Ich denke, die Tabellen kann ich nach Fertigstellung in die neue Datenbank einlesen. Inzwischen habe ich beide Systeme unter xampp am laufen (die gehackte und die 3.6.4 Version). Ich beginne die Seite so neu zu spiegeln. Es ist zwar aufwendig aber sicher. Sorge habe ich natürlich: da sie die Seite jetzt kennen, werden sie es wieder versuchen!
Einen Vorteil bringt es: Ich beschäftige mich seit langer Zeit wieder mit Joomla!
Gruß und gute Woche
Wolfgang