До сегодняшнего дня мне приходилось лечить сайты с зараженными .js файлами, в которых вредоносный код вставляется в конец файла и его можно легко очистить по сигнатуре. Пример программы для очистки.
Но вирусописатели не останавливаются на достигнутом, и разрабатывают новые способы заражения.
Опишу один из них:

• вирус заходит по ftp на сайт
• дописывает в конец кода свой кусок
• шифрует обфускатором весь файл и сохраняет.
• ждет 2 недели или месяц и в iframe появляется троян.