¿Recuperar la copia de seguridad de la tarjeta SD también recupera el malware y los virus?

Sí, asumiendo que tenías algunas "cosas malas" en la copia de seguridad para empezar. Por ejemplo, si instalaste una aplicación maliciosa de terceros que encontraste en algún sitio al azar, luego hiciste una copia de seguridad de la misma junto con su configuración en una tarjeta SD, luego borraste/reiniciaste el teléfono con la configuración de fábrica, luego volviste a insertar la tarjeta SD con tu copia de seguridad y restauraste la aplicación maliciosa desde tu copia de seguridad, estás esencialmente de vuelta a donde empezaste.

Si sospecha que tiene un sistema infectado/comprometido, y está reseteando/limpiando todo de fábrica para empezar con un sistema "limpio", puede ser prudente volver a descargar y luego reinstalar todas las aplicaciones desde una buena fuente conocida en lugar de restaurar desde una copia de seguridad.

Si sospecha que el malware puede haber tenido acceso a Root, puede considerar la posibilidad de volver a descargar y limpiar la memoria ROM original como precaución adicional mediante una actualización descargada directamente del fabricante. (Esto se debe a que el malware puede haberse instalado a sí mismo en el directorio /system, es decir, el propio software del firmware).

Este no es un método 100% a prueba de fallos para estar seguro de haber eliminado todos los rastros de malware (una vez que tiene Root, el malware teóricamente podría instalarse en otras particiones inusuales como la radio/banda base, etc. pero esto sería difícil, específico del dispositivo, y no he oído hablar de que esto ocurra nunca... todavía), así que sospecharía que esto debería ser efectivo.

Pero sí, no borre todo sólo para restaurar desde una copia de seguridad de su sistema que tiene el problema original...