Mirando las imagenes que has puesto veo que no tienes el modulo de onepage, habia una versión vieja vulnerable....
Por lo que dices la infección modifica los ficheros de controllers y classes, podrias mirar cuales son, verificando tamaños .
He visto en alguna web que el fichero infectado era una imagen, un jpg en la carpeta de /img/ dentro tenia codigo javascript incrustado.
Yo buscaria en imagenes