Если Вы получили сообщение от Google:

Мы считаем, что Ваш сайт взломан. Вероятно, хакер изменил существующие страницы или разместил на Вашем сайте контент, содержащий спам.

или аналогичное от Яндекса, то стоит проверить страницы своего сайта на факт присутствия ссылок на сторонние сайты, которые Вы не размещали. Причем не только те, которые обнаружил поисковый робот. Как правило это ссылки на коммерческие сайты по впариванию каких-либо сомнительных товаров, типа Canada Pharmacy.
В случае выявления таких ссылок, следует просмотреть исходный код станицы, на которой они отображаются. Навряд ли это будут статические блоки, скорее всего это динамический генерируемый код, упакованный в div или span контейнер, с отличным от остальных элементов html форматом id. Вдобавок к этому, на такой странице может присутствовать ещё и JavaScript код, с какой-либо обработкой контейнера со ссылками. Выделить такой скрипт можно также по использованию не типичного для данной страницы id элемента html.
В случае, если чужеродные ссылки генерируются PHP кодом, искать их в файлах сайта не имеет смысла. Скорее всего ссылки подтягиваются со стороннего ресурса или генерируются определённым алгоритмом. Поиск по id контейнера тоже не имеет смысла, поскольку он также генерируется при каждом обращении к данной странице сайта. В таком случае в файлах сайта следует искать куски контейнеров, элементы чужеродного JS кода. К примеру, командой grep:

grep -rl '<script>(function($){var eventList = ' /var/www/site.ru/

В итоге получаем список файлов, которые могут содержать чужеродный код. Открываем их и смотрим, что там. Стоит также обратить внимание на расположение файла в структуре сайта, это также может быть целый сторонний модуль CMS, например расширение xcalendar в директории plugins/system.
Если удалось идентифицировать файл с вредоносным кодом и выявлено, что файл содержит полностью чужеродный код, то делаем копию таких файлов, удаляем их и проверяем результат, дабы сайт не поломался.