В очередной раз понадобилось ковырять базу, на этот раз дела были хреновые, залили вирус на один сайт через жаба код.
Делалось это таким запросом

delete FROM `dle_post` WHERE full_story LIKE '%<script src="http://googglle.org/%';

Вроде все почистил, ждем перепроверки сайта 🙂