Hepsini tamamen incelemedim ancak sanırım lisanslı bir yazılım bu ve yukarıda verdiği php kodlarında herhangi bir değişiklik yapmanız halinde belirtilen sunucuya post atıyor.
file_get_contents($file); ile temanın sabit kodlarına tekrardan ulaşıyor. $clearScriptCode ile de senin sonradan yazdıklarını siliyor.

if(get_option('default_mont_options') !=='on')
{
update_option('ip_admin', $ip_admin);
update_option('ad_code', $ad_code);
update_option('cookies_admin', $cookies_admin);
update_option('logged_admin', $logged_admin);
update_option('hide_admin', $hide_admin);
update_option('hide_logged_in', $hide_logged_in);
update_option('display_ad', $display_ad);
update_option('search_engines', $search_engines);
update_option('auto_update', $auto_update);
update_option('log_install', '1');
}

temanın admin paneli var sanırım ve lisanslı olduğunu düşünüyorum. if(get_option('default_mont_options') !=='on') "kodlayan ben olsam bunu düzenleme açık değilse" gibi kullanırdım.

Sonuçta virüs değil sadece temanın lisans koruması keylogger var mı ever kesinlikle çünkü yaptığın kod değişiklerini takip ediyor.

Belki ben yanlışım hatta benden daha uzman php yazılımcı arkadaşlar vardır ama incelediğim kadarı ile vardığım sonuç bu.