Quando houver um chamado de invasão de site, sempre solicitar a data em que ocorreu e um backup do dia anterior a esta data. Somente remover a pasta pode não resolver o caso, pois o vírus ainda pode estar presente em outro local.
Para remover uma pasta inserida pela invasão utilizar o seguinte comando no ssh: rm -rf nomedapasta/

Após este procedimento solicitar que o cliente troque a senha do FTP por uma mais forte e passe um tutorial de como deixar  o site mais seguro.
Para sites wordpress: https://www.hostnet.com.br/info/seguranca-para-wordpress/
Para sites diferentes: https://www.hostnet.com.br/info/como-ter-um-site-seguro/

Quando for necessário verificar apontamentos na tabela de dns de algum domínio que não esteja hospedado conosco, utilizar o site http://ipok.com.br/