Для начала имеет смысл сопоставить время изменения файлов(содержащих вирус) с логами FTP и HTTP, скорее всего уже это натолкнёт на ответ. Так же можно поискать вирусы с помощью AI BOLIT. Если первый и второй вариант не помогли и сайт размещён на сервере к которому имеется root доступ имеет смысл установить снифер и сохранить все обращения. Просканировать трафик, посмотреть источники активности и методы реализации изменения файлов на хостинге.
Моё резюме и мои контакты на SuperJob -> перейти Верефицированный WMID 274708912937 -> проверить