今天在window 文件夹中发现imapi.exe 文件，

今天在window 文件夹中发现imapi.exe 文件，

中木马了，假冒的系统服务，正常的imapi.exe应该在C:\WINDOWS\system32和备份文件夹C:\WINDOWS\ServicePackFiles\i386，大小154KB，而这个在windows下的有224KB大小。每次运行会注入到iexplore.exe的 进程，这个发作很隐蔽，就是在IE地址栏输入不存在的网址时应该显示“无法找到该页”，但是这个却会将你的IE重定到error.newcell.cn这个垃圾广告站点（图见这里http://bbs.hzva.org/viewthread.php?tid=28473），DOS下删掉吧，windows下用冰刃或超级魔法兔子强行关掉还会重新加载。 用Unlocker找到钩子程序，先杀掉dll，再杀掉这个假冒的imapi.exe