Захожу в очередной раз на форум, а тут какое-то окошко за экраном появилось, выполнило какой-то JS-код и исчезло.
Открыл я MSIE Spy и вижу вот это:
http://files.dalamardword.ru/arch/20...rum-screen.png

Насторожило присутствие в логе адресов
h-t-t-p://69.50.172.171 (Не открывайте!)
и
h-t-t-p://69.50.172.171/submit (Не открывайте!),
а также адреса
h-t-t-p://ripe.net/fcgi-bin/whois?searchtext=GS655-RIPE&form_type=advanced

Смотрю реферрера для 69.50.172.171.
Им оказался такой урл:
http://217.16.26.60/banners/0000171/...nd%3D967183657

Открытие этого урла я нашел вот тут:
http://ad.adriver.ru/cgi-bin/erle.cg...?rnd=967183657

Для этого адреса реферрером был
http://ad.uoo.ru/cgi-bin/adcycle.cgi...31&type=iframe

По предпоследнему урлу показывается случайный рекламный баннер.

Реферрер для ripe.net был пустым - каким-то образом смогли так сделать.

Вывод такой. Каким-то образом через сеть ad.adriver.ru кто-то смог выполнить на машинах юзеров некий код, возможно, собрать какие-то данные через сервер 69.50.172.171 и открыть в невидимом фрейме поисковый запрос к серверу ripe.net - возможно, таким образом накрутив какой-нибудь счетчик посетителей или еще что-нибудть...