Как определить есть ли на сайте вредоносный код? и как его удалить?

У вас кричит антивирус? поисковики показывают что сайт заражен? или у вас есть подозрения по работе самого сайта?

Если внешний ни как не проявляется проверить рабочий код на предмет вредоносного кода. Иногда пользователи и сами не знают что у них вирус или др. вредоносный код.

разве все антивирусы ругаются?

знаю токо если начать какую-то закачку, то другое дело...

Нет, не все антивирусы ругаются. Именно поэтому стоит проверить на https://www.virustotal.com/ .

Так же стоит попробовать скачать по фтп сайт и проверить так же несколькими антивирусами (реальный случай был - нод молчал, а AVG и др веб шеллы детектировали).

Чтобы вредоностный код сработал/его увидел антивирус ничего скачивать с сайта не нужно, вы уже открыли страницу в браузере и обычно на этом этапе антивирус уже видит, если что-то есть и это что-то есть у него в базах.

ТС ай-болитом сайт проверьте (но результаты нужно будет анализировать, а не удалять все подряд)

По идее антивирус должен сразу кричать.

Поищите в хелпе для вебмастеров Яндекса. Там и про то как находить и про то как лечить есть.

Как обезопасить свой сайт от вредоносного кода:

1) Отслеживание даты изменения файлов

2) Отслеживание добавления файлов

3) Контроль md5 хеш-суммы файлов

4) Просмотр логов

смотрите у меня в подписи 2-е первые ссылки