Антон

Это и есть вирус, куки ваши стянули, вероятно вы там логин и пароль хранили)))))
Юзайте strip_tags, htmlspecialchars и им подобные.

Не храните никакой важной информации в куках, максимум информация о браузере и прочее, что не несет в себе потенциальной угрозы. Куки самое незащищенное место. А в этом скрипте якобы подгружается картинка средствами js, но на самом деле передаются ваши куки (то есть куки админа).

https://www.imagemagick.org/Usage/annotating/#wmar...

Создать экшен.

установить хук на вызовы api

Очевидно, что для этого нужен руткит. Только пытаясь скачать где либо такую вещь Вы неизбежно скачаете себе троян. Скрыть можно всё, процессы, файлы, ключи реестра, всё это всего лишь списки структур передаваемые ОС программам и их можно слегка подкорректировать. Естественно вашему антивирусу такая активность не понравится, если конечно руткит не умеет прятаться и от него.

Нельзя просто так взять и скрыть процесс

Зависит от того, что вы подразумеваете под "скрыть процесс".
Вообще-то, скрыть процесс нельзя. Можно будет его увидеть в консоли в любом случает. Однако, может быть есть программы, которые могут скрыть само окно. Но я сильно сомневаюсь.
Задача, честно, довольно странна.
Если нужно скрыть .bat'ник, то это можно и без доп. софта сделать. Но процесс... все равно будет.

На сервере:

$sql = mysql_query("INSERT INTO temp (login, id, date, status) VALUES ('$login', '$id', '$komm', '$time', '0') ");


$data = array(
	'status' => 'success',
	'redirect' => '/page',
	'message' => 'Действие успешно! Ожидайте!'
);
print(json_encode($data));

На клиенте:

function nameMethod() {
    $.ajax({
        url: '/url',
        dataType: "json",
        type: 'POST',
        success: function (response) {
            window.setTimeout(function () {
                  alert(response.message)
                }, 2000);
            window.location.href = response.redirect;
        }
    });
}

<button type="button" onclick="nameMethod()">Submit</button>

"/page?success=1"
а там считывайте GET и если есть - выводите alert

function getParameterByName(name) {
    name = name.replace(/[\[]/, "\\[").replace(/[\]]/, "\\]");
    var regex = new RegExp("[\\?&]" + name + "=([^&#]*)"),
        results = regex.exec(location.search);
    return results === null ? "" : decodeURIComponent(results[1].replace(/\+/g, " "));
}

И юзаем:

if(getParameterByName('success')==1) {alert('Успех');}

почему не можешь?

Я бы на вашем месте познакомился с MVC и написал нормальный роутинг.

В htaccess как минимум:

RewriteRule ^([A-Za-z0-9]+)\.php$ index.php?page=$n [L]