Ich behaupte aber fest und steif, dass man dies nicht kann, denn man kann ja mit JS nichts langfristig (länger als der Browser aktiv ist) abspeichern.

Stimmt.
Zumindest theoretisch.
Praktisch gibt es aber Software, wie den IE oder Outlook (Express).
Diese Software hat Sicherheitslücken, die es einem Angreifer ermöglichen das Programm zum Abtsturz zu bringen:
http://www.absturz4free.de.vu
oder alle CD und DVD-Laufwerksschächte öffnen:
http://www.getraenkehalter4free.de.vu
Über die Bugs, die diese Exploits ermöglichen,
kann man beliebigen Code ausführen, also auch Viren
(die nicht in JavaScript geschrieben sind).
Diese Bugs kann man auch mit JavaScript exploiten,
also kann man über JavaScript in fremde Rechner eindringen.
Mit purem Javascript kann man meines Wissens aber keine Viren
schrieben. Mehr dazu gibt es unter
http://www.heise.de/security/dienste/browsercheck/

Gruß
Alexander