Hola, esto no me suena a un virus sino a XSS (es inyeccion de codigo por algun lugar que reciba los datos de tu pagina en html), para evitarlo tienes que prohibir el html en las variables $_POST que son las que recibes por los formularios y $_GET que se reciben por url, la forma mas facil y rapida es asi:
Código PHP:
<?php
// ENT_QUOTES es para prohibir las comillas simples tambien ( ' )
foreach ($_POST as $key => $value)
{
$_POST[$key] = htmlentities($value, ENT_QUOTES);
}
foreach ($_GET as $key => $value)
{
$_GET[$key] = htmlentities($value, ENT_QUOTES);
}
?>