系统进程letvSafe.exe是什么？

最近，有很多人举报letvSafe.exe这个流氓软件，说明明看到在“启动”文件夹中，就是删除不了。
包括使用粉碎机啊，占坑粉碎删除等方法都不行。
今天在收到样本后，仔细分析了一下。

原创：http://hi.baidu.com/黑土工作室/blog 转载请附上此信息

原来，letvsafe.exe只不过是一个更新的程序，会自动下载TXQPlatform.exe并在右下角弹类qq消息的广告窗口，算是QQ钓鱼的木马吧。其中，TXQPlatform.exe好清理，删除后就看不见了。但是，letvsafe.exe就不同了，即使你将它从“启动”文件夹中删除了，重启后还是会出现的。而且，使用各种工具查看启动项的时候都找不到与之相关的启动项。
经过仔细查看分析，有一个驱动显得很可疑。就是处在C:\WINDOWS\system32\drivers目录下的tap0801.sys。经过分析，就是这个驱动每次被加载向“启动”文件夹中释放了letvsafe.exe。所以，我们只需要将这个tap0801.sys删除就可以了。

删除文件：
C:\WINDOWS\system32\drivers\tap0801.sys
c:\windows\letvsafe.exe
c:\windows\TXQPlatform.exe
"启动"文件夹中的 letvsafe.exe (通常是C:\Documents and Settings\All Users\「开始」菜单\程序\启动)

删除注册表：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tap0801 将这整个分支都删除了

经过这样处理后，这个流氓就轻松赶出系统了