O código que usei para esse tipo de ataque nos arquivos .php, .js e .html é:
perl -p -i.orig -0 -e 's/<\?\s*#([0-9a-z]{6})#.*#\/#\s*\?>//gs; s/<\!--([0-9a-z]{6})-->.*<!--\/-->//gs;'
Irritante ... Você deve descobrir como o invasor entrou e verificar a integridade de seus backups também. Eu tive que executar o acima em 4 milhões de arquivos uma vez porque os backups também foram contaminados.