А руками найдётся ещё больше, уж поверьте, 10 лет этим (ручными проверками) занимаюсь. К примеру, в глубоко вложенном каталоге могут создать кучу файлов для редиректов JavaScript-ом, а с точки зрения антивируса -это обычные html. И он про них ничего не скажет. В на самом деле - мусор. Могут быть новые варианты закодированных шеллов, которые антивирус по своей базе не найдёт. Один раз видел подделку под xmlrpc.php. Там реально был очень похожий код, но один кусок в середине файла делал совершенно не то, а вызывался из конца.... в общем, антивирус - не панацея. Надо руками