Existen varias formas de "infectar" una página...

Tal y como lo cuentas, entiendo que lo que se ha visto "infectado" no es la página, sino algún archivo subido al repositorio que contiene un virus (lo cual podría hacer que se descargase dicho virus).

O incluso peor, que aprovechando un bug del OSCOMMERCE (en la versión que tengas), un agujero en el ftp o una mala política de contraseñas (susceptible de ataque por diccionario), alguien haya podido modificar el propio código PhP del OsCOmmerce, de forma que cuando accedes a uan página, intenta cargar el virus en el equipo cliente de forma automática.

Si se trata de una mala política de contraseñas, es culpa vuestra. Si se trata de que os han birlado la clave de una cuenta, es cosa vuestra. Si se trata de un fallo en el OS-Commerce, en el ftp o en el S.O., es cosa de ellos...

- Comienza cambiando todas las claves de acceso (sobre todo ftp).
- Empieza a usar conexiones más seguras (ssh/scp/sftp) para subir archivos.
- EXIGE que te digan dónde se produjo la entrada y como. Que te digan tambien si se ha visto afectado el código del os-commerce. Si es culpa de algo que hayais hecho mal, que os lo demuestren para que no vuelva a pasar... Si no, como te han dicho, cambia el hosting porque te están tomando el pelo, ya sea por desidia o desconocimiento.
- Y que se aseguren de tener el S.O. al dia de parches de seguridad, así como el os-commerce a la última versión y sin bugs conocidos.

Yo empezaría por eso...