Ma sicuro che siano in javascript? Normalmente i "bot" che spamanno o che infestano i guestbook non hanno il javascript attivo, per questo capcha è lato server, comunque se vuoi operare lato client:
codice:
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN">
<html>
<head>
<title>test</title> 
<script type="text/javascript">
//al caricamento della pagina parte la funzione 
window.onload=function(){
//imposto il pulsante invio disabilitato
document.getElementById('send').setAttribute('disabled','disabled');
//azzero il campo inserimento risultato
document.getElementById("sommacodice").value='';
//array totale codici che devo essere in decimali
var risultati = new Array()
risultati[0] = 40
risultati[1] = 14
risultati[2] = 11
risultati[3] = 28
risultati[4] = 17
risultati[5] = 10
//array che mostra le operazioni la somma espressa in decimali
var codici = new Array()
codici[0] = "8 x 5"
codici[1] = "6 + 8"
codici[2] = "4 + 7"
codici[3] = "7 x 4"
codici[4] = "22 - 5"
codici[5] = "6 + 4"
//randomizzo i codici se si aggiungono delle array va modificato il numero finale di moltiplicazione
var codrandom = Math.round(Math.random()*5)
//mostro l'operazione
document.getElementById("cod").innerHTML=codici[codrandom]
//imposto il risultato nel campo nascosto
document.getElementById("codkey").value=risultati[codrandom]
}
</script>
</head>
<body>
<div id="codice">Scrivi la somma di > <span id="cod"></span>
</div><input name="codkey" id="codkey" type="hidden" value="" /><input name="sommacodice" id="sommacodice" type="text" onkeyup="if(this.value.length > 1 && this.value ==  document.getElementById('codkey').value){document.getElementById('send').removeAttribute('disabled')}else{document.getElementById('send').setAttribute('disabled','disabled')}" /><input name="invia" type="button" value="spedisci" id="send" disabled="disabled" />
</body>
</html>