Хостинг . Антивирусная защита.

В панели управления появилось сообщение о том что, "обнаружены файлы с вредоносным содержимым".
Странно то, что все файлы WP - functions.php
Особенно удивило наличие такого сообщения в чистом вордпрессе в стандартной теме "twentyfourteen"
Почитал содержимое - ничего нет, внешние ссылки только на гугл шрифты, карты и т.п.
Как работает антивирус? Даже если зараза реально присутствует, он в любом случае будет указывать на functions.php?

P.S.На всякий случай просмотрю всё, в том числе и базы.

Если кликнуть по названию зараженного файла и проскролить его о в нем можно увидеть подсвеченные красным строки. Это и есть сигнатуры, по которым антивирус нашел вирусы. Скриншоты с Вашей панели управления:
cdn.adm.tools/forum_message/0298/27/2e1rt_w3qk.jpgcdn.adm.tools/forum_message/0298/27/2e1rt_ubo2.jpg

Особое внимание стоит обратить на то, что делается include файлов с расширением .PNG эти файлы и есть вирусы.

Да, спасибо, уже нашел. Откуда взялось - непонятно. Некое "PHP.Phocryp".

www.symantec.com/security_response/writeup.jsp?docid=2014-112417-4636-99&vid=43451&product=Norton%20Internet%20Security&version=21.6.0.32&plang=sym:RU&layouttype=TrialWare&buildname=Retail&heartbeatID=8D8B48BF-6DDB-4C15-BE24-917BE25B01F3&env=prod&vendorid=1000170&plid=2&plgid=2&skup=21295873&skum=21295873&skuf=21291108&endpointid=%7B8D8B48BF-6DDB-4C15-BE24-917BE25B01F3%7D&partnerid=1000170&lic_type=512&lic_attr=21123089&psn=XGR7R6FTCRBB&osvers=6.3&oslocale=iso:RUS&oslang=iso:RUS&os=windows

Откуда взялось можно найти сопоставив дату модификации файлов и лог файл запросов на сайт (Apache access log)