Вредоносный код

Доброго времени, понимающие.
Вчера появилась проблема с shopfilters.ru и его поддоменом aquaphor.shopfilters.ru (оба на одной БД), а именно: странный вредоносный код. Проявляет себя так:
1. Отключилась возможность обновлять и устанавливать плагины, ядро и т.п.
2. Жуткие тормоза в админ-панели.
3. На этом глюки, видимые админу закончились. Ниже описаны проблемы, наблюдаемые пользователями customer, причем только если он посещает сайт из сети, из которой не заходил админ.
4. При нажатии на меню, логотип и т.п. включается редирект на казино, тотализаторы и т.п.

Какие шаги были предприняты до появления проблемы:
1. Установил плагины: ATUM Inventory Management for WooCommerce, Woomage Store Manager WooCommerce API, Smart Store Manager For Your WooCommerce Shop, Store Manager Connector, все с wordpress.org, к последнему скачал триал api-приложение для мониторинга склада с пк.
2. За пару дней до этого установил Smart Store Manager For Your WooCommerce Shop со стороннего ресурса, предварительно проверив его касперским и докторвэбом, обычную версию, но он адски тормозил. Его снес, и поставил, как уже сказано, с wordpress.org.

Вчера вечером знакомый сообщил о появившейся проблеме.

Какие шаги были предприняты после появления проблемы:
1. Отключил все недавно установленные плагины на обоих сайтах — не помогло
2. Тоже сделал с темами — не помогло
3. Проверил сервисами: http://sitecheck.sucuri.net/:

Website: shopfilters.ru
Status: Infected With Malware. Immediate Action is Required.
Web Trust: Not Currently Blacklisted (10 Blacklists Checked)
Scan Result Severity Recommendation
Malware Detected Critical GET YOUR SITE CLEANED
ISSUE DETECTED DEFINITION INFECTED URL
Website Malware rogueads.unwanted_ads?1 http://shopfilters.ru/404javascript.js ( View Payload )
Website Malware rogueads.unwanted_ads?1 http://shopfilters.ru/dostavka/ ( View Payload )
Website Malware rogueads.unwanted_ads?1 http://shopfilters.ru/my-account/ ( View Payload )
Website Malware rogueads.unwanted_ads?1 http://shopfilters.ru ( View Payload )
Known javascript malware. Details: http://labs.sucuri.net/db/malware/rogueads.unwanted_ads?1
<script type=»text/javascript» src=»//go.oclasrv.com/apu.php?zoneid=1488199″></script>

и https://rescan.pro/

Постоянная ссылка на отчет https://rescan.pro/result.php?2f622e7c5839ddba035f4c1e2266d425
Опасный код на странице ✔ Проблем не обнаружено
Вирусы в скриптах ✔ Проблем не обнаружено
Вставки с опасных сайтов ✖
<SCRIPT>
http://go.oclasrv.com/apu.php?zoneid=1488199<SCRIPT&gt;
http://deloton.com/apu.php?zoneid=1488199<IFRAME&gt;
Сайт в базе вредоносных ✔ Проблем не обнаружено
Редиректы ✔ Проблем не обнаружено
Ошибки страницы ✔ Проблем не обнаружено
Вставки с неизвестных сайтов ✔ Проблем не обнаружено
Ресурсы с внешних сайтов ✔ Проблем не обнаружено
Ошибки загрузки ресурсов ✔ Проблем не обнаружено
Внешние ссылки ✔ Проблем не обнаружено
Дополнительная информация
Окончание регистрации домена ✔ 2018-10-05, 288 дней
Время генерации / загрузки / DOM Ready ✔ 1.385s / 1.482s / 2.098s
Ошибки на странице ✔ —
Ошибки Javascript ✖ 3
IP / NS сервера 77.222.61.9 / NS: ns2.spaceweb.ru, ns1.spaceweb.ru, ns3.spaceweb.pro, ns4.spaceweb.pro, mx.yandex.net
CMS Wordpress

4. Т.к. был найден код, просканировал public_html обоих сайтов Anti-Malware Security and Brute-Force Firewall.
Были обнаружены вкрапления в functions.php тем и некоторые файлы плагинов. Применил предлагаемое лечение. Успешно. Но при следующих проверках снова вкрапления в functions.php тем и уже другие файлы плагинов.

5. Откатил файлы и бд на день назад — не помогло
6. Откатил файлы и бд на 6 дней назад (самый старый бэкап) — не помогло.

Вразумите, если не трудно, что делать?

Страница, с которой нужна помощь: [войдите, чтобы увидеть ссылку]