A primeira coisa a fazer agora é alterar a Password de FTP. De seguida verificar se tens ficheiros que não são teus no Alojamento (public_html). Se vires que não encontras nada de estranho, começa a verificar os teus indexs ( e outros ficheiros), a ver se têm alguma linha de código que não seja tua ( costuma ser <script>... ).
Caso não encontres mesmo nada, solicita à Empresa de Alojamento que reponha o Backup da tua conta, que seja da altura antes do teu site ser visto como maligno. Como podes não ter a certeza da altura da invasão, convinha um Backup de um bom tempo antes.