今天很幸运，抓到一个很厉害的后门程序，过了我的ESS，金山卫士，通过在线扫描过了很多杀毒软件，卡巴斯基报了Backdoor.Win32.Xyligan.bzz，网络真是太不安全了，正规网站下载的软件也会被放入后门程序，该后门通过注册表加载启动，路径：D:\Micropoin\Thunder.exe，Micropoin是伪装微点文件夹，但是少了一个t，微点正常目录为Micropoint，主程序Thunder.exe伪装为迅雷主程序，加载启动方式通过注册表实现，其中D:\Micropoin\已经被设置为开机启动目录，放入任何程序到这个目录都会自动添加开机启动项。涉及多个键值，列举几个如下：
[HKEY_CLASSES_ROOT\ini\DefaultIcon]
@="D:\\Micropoin\\Thunder.exe,0"
[HKEY_CLASSES_ROOT\ini\Shell\Open\Command]
@="\"D:\\Micropoin\\Thunder.exe\" \"%1\""
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
解决方法：
删除D:\Micropoin\Thunder.exe程序后，删除注册表相关启动键值。