Jeg har været ude for en lignende situation hvor der var blevet injected noget kode ind i stort set alle undersider på et WordPress site(et kendt "hack" der oftest begynder med eval(base64_decode()). Hvis du har FTP adgang til websitet kan du prøve at trække de 2 filer ud og se i source koden hvad det er for noget deres malware scanner har opfanget og gøre hvad jeg gjorde.
Du ligger alle filerne du tror der er infected og ligger i den samme mappe og så følger du denne guide. På den måde går Notepad++ ind og replacer det stykke kode du er blevet injected med(hvis dette er tilfældet) og du kan så vælge at replace med ingenting(fjerne det). Herefter kan du uploade dine filer igen og så, hvis det er muligt, gøre som mig og opdatere dit theme, plugins og hvad der ellers kan opdateres så du forhåbenligt er i sikkerhed.
Hvis der er noget du er i tvivl om eller jeg har formuleret forkert er du mere end velkommen til at skrive til mig.
endnu en god grund til at have en lokal kopi af alle sites filer.. i tilfælde af angreb kan man bare køre et diff program som winmerge på lokal og remote mappen og så lave en patch der retter filerne tilbage igen.. dette løser dog ikke det bagvedliggende problem men er en nem måde at holde sig nogenlunde virusfri.