Нашел с чем это было связано, может кому будет полезно.
Проверяя сайт на вирусы DrWeb сказал что с сайтом все ништяк, здоров как бык. Хорошо что при запросе в яндексе "проверить сайт на вирусы" мне первым показался не DrWeb.
И так, другой ресурс (rescan.pro) выдал что загружается сторонний скрипт как раз с вызовом http://3c7.opapo.ru/js.js?p=&id=ua7529267592c8c139d2fc40af90f15fe&megafon&beeline
Окей, начал в ручную перебирать весь сайт: index.php, .htaccess мельком проверил js. Ничего не нашел. Решил проверить сайт буржуйскими антивирусами. В общем sitecheck.sucuri.net точно показал в каком именно js сидит засранец. Мало того этот засранец был зашифрован (разшифровал чтобы убедиться что это именно он через Hex Decoder на сайте ddecode.com).
Да на счёт рекламных меток тоже думал, похоже на гугловкие. Единственно что недавно делал с рекламными объявлениями это подставлял в РТБ блок от яндекса код вызова рекламного блока google adsense. Как не странно пользователи по этому url и входят и выходят.
Все входы на эту страницу - прямые заходы. Когда заходят через поисковик то выходят по это ссылке. Где-то 5% от общего числа посещений связано с этим url.
