Haces muchas preguntas en tu post... contestándote algunas te puedo decir, que el antivirus es justamente para eso, para detectar lo que dejan pasar los navegadores... no hay navegador 100% seguro...
Sobre lo del Avast!, el antiovirus es capaz de detectar el código escrito en una página que represente peligro, aunque sea solo un código y no un troyano ensamblado ya... un ejemplo es este post publicado en el foro:
http://foro.elhacker.net/analisis_y_diseno_de_malware/atacar_antivirus_en_bat-t402826.0.html;msg1898227;topicseen#msg1898227Allí solo esta un código escrito y nada mas, pero la heurística del Avast! detiene el acceso a la pagina...
Con respecto a lo de Java... bueno... todo lo referente a Java siempre se debe descargar de la pagina oficial, pues en Java es común que oculten los malwares muchos desarrolladores de ellos...
Saludos.