В общем нашелся вирус, он был в html файле(в папке темы), который инклудился в functions.php. Кстати интересная особенность, этот вирус инклудил файл с расширением .jpg, в котором тоже был вредоносный код и как не странно все это дело успешно отрабатывало. Я и не знал, что так можно...
П.С Я к тому, что исполняемый код вируса может лежать где угодно (в любом файле, с любым расширением), успешно инклудиться и отрабатывать! Как я был наивен, просматривая только файлы с расширением .php.