Mas datos sobre la infección y como bloquearla.
Dos cosas importantes, la primera el usuario que tiene la web en la conexión, no debes utilizar sa o dbo_owner ya que ambos suelen tener permisos completos. Asigna una cuenta para la web que solo pueda leer y escribir datos, el resto quitalo de permisos.
Otro tema que he probado y por ahora funciona en los ataques que yo probe. En las paginas asp verifica el querystring que viene y elimina lo que no vale, o bien redirige la pagina, por ejemplo:

tmp=request.QueryString
'response.Write(tmp)
if instr(tmp,";")<>0 or instr(tmp,"declare")<>0 or instr(tmp,"[") then
response.Redirect("infectada.asp")
end if

En este ejemplo busco caracteres que seguro no uso en mis datos como parametros, como estos se pueden asignar muchos mas a modo de filtro en las cadenas de entrada. Este codigo debe estar en la primera linea de ejecución, justo depues de asignar languaje vbscript.

Mas cosas simples que hay que cuidar (aunque casi todos ya lo hacemos), es las cadenas de usuario y contraseña, simplemente haz un replace de caracteres como apostrofe ' por doble apostrofe o mejor aun quitarlo. Imagina que tu haces una verficación en sql para verificar si el usuario y contraseña son correctas al poner como usuario y contraseña ' or '1'='1 se crea una validación dentro del sql que da permisos, por el contrario al eliminar los apostrofes ya no vale para nada.

Espero que te sirvan estos datos, al menos de las 3 paginas que se me infectaban ya 2 no les ocurre y tienen todo lo que acabo de explicarte.

Suerte