A mí me pasó lo mismo con tres sitios que había hecho.

Como solución rápida para evitar nuevas infecciones, cambié el usuario con el que mis páginas acceden a la base de datos para que tuviera permiso de sólo lectura.

Para limpiar los campos ya infectados, hice una aplicación tonta que podéis descargar en http://miguel.villafranca.googlepages.com/home.

Para terminar la tarea, hay que revisar tooooodos los casos en los que mandas una consulta al servidor, y ver que toooooodos los parámetros que le envias tienen valores controlados (usar prepared statements o stored procedures es un buen comienzo)