Zunächst mal würde ich das infizierte System "wegschmeißen", d.h. der (oder die?) Rechner auf dem der Trojaner gewütet hat, sollten platt gemacht werden erst dann wieder ins Netz.

Mir ist etwas vergleichbares einmal vor ein paar Jahren passiert. Vermutlich wurden die FTP-Zugangsdaten abgefischt (Filezilla, Klartext). Dann wurde per FTP ein JavaScript in die index.html bzw. index.php eingefügt, das versucht hat, Schweinkram zu verbreiten. Glücklicherweise ist das recht schnell aufgefallen, weil dadurch die Seite nicht mehr korrekt funktioniert hat.

Ich habe dann das FTP-Passwort geändert, die index.html des CMS durch "Wartungsarbeiten" ersetzt (also die Seite defacto abgeschaltet), "Format c:\", Windows neu installiert, mir dann die Dateien des CMS auf dem Server näher angeschaut (da gibt's ein Check-Tool für), und dann die Seite wieder online gesetzt. Und den Vorgang auf der Seite transparent veröffentlicht.

Diese Maßnahmen haben geholfen - danach hatte ich keine Probleme mehr damit. Wichtig ist halt, dass das kompromittierte System ersetzt wird - und zwar nicht nur mit "Antivirus", sondern komplett neu.