Стоить это будет пропорционально затраченному времени.

Найти и удалить вредоносный код - в среднем, занимает часа четыре.
Но, как вы понимаете, этого мало. Надо не только его удалить, но и закрыть уязвимости, через которые этот код попал на сайт.

Скорее всего, проблема в уязвимости Drupal, которая была обнаружена этой весной, надо обновить ядро до последней версии. Тут возникают ньюансы.
Если разработчик не вносил в файлы ядра никаких изменений - то это будет несложно сделать.
Если же изменения были - то после обновления кода они будут утеряны, соответственно - изменится логика работы сайта. В таком случае придется выявить все внесенные изменения, разобраться для чего они были сделаны, и либо перенести их в новую версию кода (быстрее, но хуже), либо - изменить логику работы сайта правильными способами, чтобы при следующем обновлении не пришлось повторять эту процедуру.

Второй вариант - уязвимости в кастомном коде, который писал разработчик. Иногда такие дыры могут быть оставлены преднамеренно, иногда - по неопытности. Соответственно, потребуется аудит такого кода, время зависит от его количества.

Третий вариант - вредоносный код залили, взломав соседей по неправильно настроенному шаред-хостингу. Тут поможет переезд на выделенный виртуальный сервер.
Разумеется, возможны комбинации этих случаев.

В общем, надо смотреть сайт изнутри.

Пишите в личку, решим этот вопрос

Сделаю экспресс анализ, бесплатно. Пишите пожалуйста контакты в профиле.