Обычно, вирус находится в nulled плагине или теме, скачанной с пиратского сайта. Вот,
пример такого вируса.
Следовательно, начинать лечение сайта нужно с поиска зараженного плагина или темы (файл functions.php). А то, что вирус на соседние сайты полез, значит, что у вас на сервере в PHP не настроены ограничения
open_basedir
. Я после таких заражений всюду установил open_basedir: /home/user/site.com/www (огранил видимость в пределах www) - так вирус не сможет просканировать другие папки за пределами одного домена.
Есть антивирусы по типу
AiBolit - они находят вирусы в коде.