No leí todos los post, capaz ya te lo dijieron, pero aun asi, va mi recomendacion...

despues de pasar el antivirus... es salvar los archivos,respaldar... reinstalar desde 0, realizar una auditoria de los codigos de tus sitios web y realizar un completo aseguramiento de permisos, programas, contraseñas y otros a la maquina (hardening). No queda otra, practicamente tu maquina esta "hackeada" y puede ser puente para otros ataques.

Se que es costoso en tiempo y dinero, pero es la mejor solución para estos problemas.

Saludos.

Otra recomendación, (desconozco el accionar del virus, si el virus trabaja como root, entonces, esto es inutil) ejecuta un chmod recursivo quitando los permisos de escritura a todos los ficheros web. De esta forma, aunque el virus este, se "podria" llegar a evitar que modifique las paginas web.
Nota:el chmod recursivo que te recomiendo es

"chmod -R 544 /ruta/a/las/web" (como root)
NOTA: esto podria dejar inutilizable algunos sistemas (cms, o cuando intentas subir algo, puesto que quitas los permisos de escritura a todo)
Aun asi, es solo una solucion parche, piensa lo bien, y la recomendacion nuevamente... reinstala y usa tus backups originales, si es posible.

Agrego...
estuve leyendo, y vi esto
"The infection is not a server-wide exploit. It will only infect sites on the server that it has passwords to"

Entonces, la solución parche que te propongo, deberia funcionar. Aunque te va a tarer varios problemas con los permisos... errores de acceso y demases, además, podria darse el caso de que "haya mutado" y este atacando tu servidor, tenga una backdoor o algo similar...... suena paranoico, pero bueno...