Сталкивался с подобным случаем. Нашел эксплоит в /var/tmp, обычный скрипт, который через уязвимость в ОС получал рутовый доступ и изменял все js файлы, которые нашел в docroot. Если после смены паролей вирус снова появился, значит либо у вас на хостинге сидит эксплоит, либо на компе, через который работаете с файловой структурой хостинга.