病毒分析：

网游木马，运行后释放dll到系统目录：
%System%\ztdoor0.dll

创建ShellExecuteHooks启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{E952B8F8-D91A-4EDD-851C-EE1A0F944469}"="hook zt"

[HKEY_CLASSES_ROOT\CLSID\{E952B8F8-D91A-4EDD-851C-EE1A0F944469}\InprocServer32]
@="%System%\ztdoor0.dll"
木马会不断重写释放出的dll文件和启动项。

设置注册表信息：

[HKEY_CLASSES_ROOT\CLSID\{E952B8F8-4EDD-851C-D91A-EE1A0F944469}]
"daExeModuleName"="{原文件}"
"daDllModuleName"="%System%\ztdoor0.dll"
"daSobjEventName"="YUTDFGHKHCOOLZT_0"

查杀清除方法：

1. 结束Explorer.exe进程

2. 删除（或重命名/移动）木马文件：
%System%\ztdoor0.dll

3. 运行Explorer.exe进程

4. 删除木马创建的ShellExecuteHooks启动项和相关信息：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{E952B8F8-D91A-4EDD-851C-EE1A0F944469}"

[HKEY_CLASSES_ROOT\CLSID\{E952B8F8-D91A-4EDD-851C-EE1A0F944469}]

[HKEY_CLASSES_ROOT\CLSID\{E952B8F8-4EDD-851C-D91A-EE1A0F944469}]
5. 如果第2步中没有删除木马文件，重启计算机后再删除重命名或移动过的木马文件：
%System%\ztdoor0.dll