По хорошему, помимо переноса верстки и базы можно перенести еще и элементы шаблонизации сайта из папки templates. Работал только с xslt шаблонизатором, не могу представить себе способа заражения его файлов для нового взлома. Есть вариант что туда могли записать ссылки левые, но это, пожалуй, самый максимум. Так же обратите внимание на файл custom.php, что лежит в папке .\classes\modules - там обычно прописываются самописные кастомные макросы, которые вызываются из шаблонизатора. И там может и не быть, зависит от разработчиков).
Немного отходя в сторону - можете указать версию взломанной системы и способ? Первый раз вижу информацию о взломе UMI