Beim Kollegen ist es dieses hier:

<script src=http://gnci-ict.com/images/cb6m/Thumbs.php ></script>

Die Adresse wechselt aber recht häufig.

Das baut sich dann in so ziemlich jedes .htm Dokument ein sowie in die ajax/global.ajax.js ganz unten.

Egal wie oft wir die infizierten Dateien schon von dem Code befreit haben (mitunter 150 betroffene Dateien), es kehrt immer wieder zurück.