В файлах вирус мог обосноваться очень глубоко. Если проверили всё руками и точно уверены, что его там нет, то можно посмотреть на другие вектора внедрения (хотя я бы всё же попросил специалиста глянуть код).
Другие вектора:
- логины/пароли от FTP - вы могли переехать на новый сайт, но если ваш комп заражён и злоумышленники знают, куда вы заходите и что вводите, но и новые пароли они перехватят автоматически.
- дыры в компонентах сайта - возможно, это целевая атака, кто-то специально вас ломает. Тогда проверьтесь через
Acunetix,
Metascan,
Detectify, чтобы найти возможные дыры для заливки шелла, внедрения SQL-инъекций и так далее.