病毒分析：

网游木马，运行后释放dll到系统目录：
%System%\wodoor0.dll

创建ShellExecuteHooks启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}"="hook wo"

[HKEY_CLASSES_ROOT\CLSID\{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}\InprocServer32]
@="%System%\wodoor0.dll"

木马会不断重写释放出的dll文件和启动项。

设置注册表信息：

[HKEY_CLASSES_ROOT\CLSID\{5731EA1D-4DE9-BDDA-6AAF-7B390A75B286}]
"daExeModuleName"="{原文件}"
"daDllModuleName"="%System%\wodoor0.dll"
"daSobjEventName"="YUTDFGHKHCOOLWO_0"

查杀清除方法：

下载IceSword120_cn.zip(冰刃)

IceSword120下载:http://www.motoyi.com/Down/Noted/200704/Down_10.shtml

1. 结束Explorer.exe进程(使用冰刃结束即可)

2. 删除（或重命名/移动）木马文件（down.45it.com下载IceSword120_cn.zip(冰刃)删除）：
%System%\wodoor0.dll

3. 运行Explorer.exe进程

4. 删除木马创建的ShellExecuteHooks启动项和相关信息（IceSword120_cn.zip(冰刃)依次删除）：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{3422FB0F-95EB-458A-8B56-39552017A4EF}"

[HKEY_CLASSES_ROOT\CLSID\{3422FB0F-95EB-458A-8B56-39552017A4EF}]

[HKEY_CLASSES_ROOT\CLSID\{3422FB0F-458A-8B56-95EB-39552017A4EF}]

5. 如果第2步中没有删除木马文件，重启计算机后再删除重命名或移动过的木马文件：
%System%\wodoor0.dll