Por lo que que te dice tu proveedor me parece entender que ha habido un envío masivo de correo desde un script php de tu cuenta de hosting.

En mi opinión:

Si ese script lo instalaste tú, parece que alguien ha conseguido acceder a ese script y utilizarlo para sus fines (supuesto que no has sido tú el que ha enviado correo masivo). En este caso deberás subsanar la vulnerabilidad que ha permitido que desde "fuera" accedan a utilizar ese script para enviar correo masivo. Si no sabes hacerlo y has sido tú el que ha instalado o desarrollado ese script pues deberás contar con alguien para que te haga ese trabajo (pagando o no, según el que te haga el trabajo quiera hacerlo gratis o no).

Si el script lo ha instalado tu proveedor, es él el que deberá asumir los costes de subsanar las supuestas vulnerabilidades que han permitido que alguien abuse de ese script para enviar correo masivo.

Si ese script NO lo has instalado tú ni tu proveedor, entonces parece que un intruso ha accedido al sistema y lo ha instalado para utilizarlo. En este caso creo que tu proveedor debería determinar cómo ha accedido el intruso y decírtelo. Si el intruso ha accedido a través de alguna vulnerabilidad de alguna aplicación, es tarea del que ha instalado esa aplicación subsanar esa vulnerabilidad o que alguien se lo haga si no sabe hacerlo.

En cuanto al precio, 25 euros/hora no me parece nada caro para un administrador de sistemas. Lo normal suelen ser unos 50 euros/hora