对 策：重新启动退回纯dos，删除windows中system目录中的sysreg.exe,regservice32.exe,netw3c.exe， rasint.dll四个文件。

然后删除注册表中的

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run regservice
"C:\windows\system\regservice32.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices sysreg
"C:\windows\system\sysreg.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run netw3c
"C:\windows\system\netw3c.exe"项

上面步骤千万不可颠倒！！因为软件的自我保护性很强，先删注册表无法彻底根除监听程序，在你启动的同时系统就会自动恢复刚删除项。

综 述：尽管作者最终还是跟踪破译了其盗窃原理，但还是为其兔子的手法，狐狸般的特性而叹为观止。这是一款典型的专家级盗窃程序。

总 结

从上面例子不难看出，OICQ密码盗窃程序无非两类：一是外壳程序，如OICQTHIEF，一是后台程序，如其 他几类。外壳程序隐蔽性差（寄生的外壳程序除外），所以很容易被发现。而后台程序一般都隐藏很好， 而且开机自动运行，所以不易发现，危害性也较大。

为了便于识别，现对上述几种程序的特征和判断方法 做一综合总结：

文件判断：

1、进入OICQ目录：出现O.EXE为感染oicqthief盗窃程序

2、进入windows目录中的system目录 出现smaxinte.exe或internat.exe不是问号图标为感染QQ密码侦探 出现QQSPY40.EXE为感染qqspy 出现 sysreg.exe 或 regservice32.exe，netw3c.exe，rasint.dll 为感染 qeyes 潜伏猎手

注册表判断：

运行regedit,进入

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

默认键是“internat”为感染QQ密码侦探，出现OICQPASS键是感染 QQSPY40.EXE，出现 regservice 或netw3c 是感染qeyes潜伏猎手 !!