De início, você tem a senha e o usuário digitados, e quer saber se estão corretos...
$usuario = "fulano";
$senha = "senhadigitada";
Você tem o usuário digitado, portanto já sabe qual hash:salt vai usar para conferir:
select `password` from `jos_users` WHERE `username` = "fulano";
Resultado (fictício):
$hashSalt = "05W2C79dc7bb73b0601fb82xOLcLS1f9:BmwIQWMc87b05cxuk28aJXyA67r7250s"
A senha está no formato HASH:SALT, ou seja,
$hash=05W2C79dc7bb73b0601fb82xOLcLS1f9
$salt=BmwIQWMc87b05cxuk28aJXyA67r7250s
Para saber se a senha informada está correta, o esquema é "sujá-la" com o SALT, aplicar o md5, e depois conferir se bate com o HASH:
if (md5($senha.$salt) == $hash) {
echo "está certo";
} else {
echo "está errado";
}
Espero que ajude!