Pues si, fue wordpress u oscommerce. Realmente hay foros abiertos sobre este virus en los sitios oficiales de ambos.
No tengo ni idea por donde entro, pero lo que es cierto es que fue por 1 de ellos e infecto el resto que estaba en PHP que eran 3, total 4 sitios infectados, sin que ellos esten relacionados dentro del alojamiento web.
En caso de que desafortunadamente suceda a alguien, creo que es mejor tener a mano las copias de seguridad mas recientes que tengan y actualizar los archivos que hayan modificado, que ha sido la accion que yo hice pero me llevo varios dias de trabajo.
Ojala no siga sucediendo, paso los enlaces de algunas discusiones que se hicieron (desafortunadamente en ingles):
Wordpress y virus php Oscommerce y virus php
Saludos