Von einem definitiv (!) sauberen PC aus sämtliche Zugangspasswörter ändern, auch das Datenbankpasswort und das Zugangspasswort zu Deinem Hoster (sinnvollerweise auch dein privates Onlinebanking, Email Passwörter etc). Logdateien sichern und untersuchen (lassen). Die neuen Passwörter keinesfalls von dem kompromittierten Rechner aus verwenden, sonst war alles für die Katz'
Falls Du Dir ein Rootkit eingefangen hast, ist die Aussage des Antivirenprogramms übrigens nichts wert, denn das Rootkit hat dann die Kontrolle über das Dateisystem und bestimmt, welche Dateien und Prozesse der Virenscanner zu sehen bekommt und welche nicht. Dann hilft im Zweifelsfall auch ausbauen und fremdscannen der Festplatte nicht, da Rootkits zuweilen ein eigenes Dateisystem verwenden, welches garnicht erst gefunden wird, solange das kompromittierte OS nicht gestartet ist.
Was die Bereinigung des Shops angeht, da bin ich kein Spezialist. Da kann vielleicht jemand anderes etwas dazu sagen.
Übrigens, wenn der Verdacht besteht dass Daten Deiner Kunden gestohlen wurden bist Du verpflichtet sie darüber zu informieren, besonders wenn es um Konto oder KK Daten geht... Auch wenns weh tut.