Recover site magento 1.9.4 hacké (js: cardstealer)

Bonjour,
notre site de vente magento 1.9.4 a été hacké.
Le hackeur a mis en place un script qui, une fois sur deux, place un bouton de checkout personnalisé par dessus le bouton de checkout réel.
Ce bouton personnalisé renvoie vers une page de notre site étant une parfaite copie de la page de paiement payplug. le client se voit alors subtilisé ses données de paiement. C'est bien pensé puisqu'ensuite, discrètement, cela renvoie vers la page réelle de paiement payplug.
J'ai pu le constater grâce à l'url de la page mais aussi le bouton utilisé est un rien différent de notre bouton habituel.
Je cherche des fichiers modifiés sur notre ftp depuis un jour entier, sans succès. Je ne trouve pas la cause de ce souci et en attendant avast (par exemple) signale forcément notre site comme verolé.
Je recherche un prestataire disponible de suite et ayant de l'expérience pour résoudre ce souci de manière certaine et rapide.
D'avance merci!