决战到底

决战到底__彻底清除顽固后台进程「aTrust***」的方案完整代码分享

由于工作需要，必须用aTrust软件，但是恼人的是，即使退出了，仍然有顽固的进程结束不掉，这不研究到快2点了，终于有点效果了，估计看到这篇文章的大部分都还是学子，抓紧收藏起来，说不定你以后也用得到（这东西说不定后边有双眼睛哦)

• 废话不多说，直接上干货！

• 持续更新： 2025.3.22：补充说明，进程还是很顽固，开机进程会自动启动，有时候要点几遍bat文件，查杀的时候有时候还是清除不干净，需要多点几遍bat文件，我是初学编程不太懂，有大佬能优化的可以帮忙优化一下。点完bat留意一下代码最后的提示，有时候提示“仍有进程残留”。

  

  ---

  方案功能亮点

  ✅ 智能语音警报系统 - 多模态提醒机制

  ✅ 军工级清理能力 - WMIC底层进程粉碎

  ✅ 自我防护机制 - 防复活持续监控

  ✅ 企业级日志系统 - 完整操作追溯

  ---

  核心武器库

  1. 智能语音监控卫士

  # 1、保存为 ProcessGuardian.ps1
  # 2、右键使用PowerShell运行（管理员权限）
  # 3、注意看一下你的语音包名称，跟代码匹配，不过这一点我也没调好，报警说的啥我也听不懂，好像以前打红警的配音，也无所谓了
  # 4、这个语音功能如果在连续清除和打开的情况下好像有延迟，反正我不懂，能提醒就不错了，右下角会有黄色三角标提示
  # 配置参数
  $TargetProcesses = @("aTrustTray", "aTrustAgent", "atrustXtunnel", "aTrust")
  $CheckInterval = 3
  $AlarmText = "警报！检测到危险程序运行！请立即处理！"
  # 语音引擎初始化（增强兼容性）
  try {
      Add-Type -AssemblyName System.Speech
      $Speech = New-Object System.Speech.Synthesis.SpeechSynthesizer
      
      # 中文语音优先级列表
      $Voices = @("Microsoft Huihui Desktop", 
                 "Microsoft Kangkang - Chinese (Simplified)",
                 "Microsoft Yaoyao - Chinese (Simplified)")
      
      foreach ($voice in $Voices) {
          try {
              $Speech.SelectVoice($voice)
              break
          } catch {
              Write-Host "尝试语音包 $voice 失败，尝试下一个..." -ForegroundColor Yellow
          }
      }
  } catch {
      Write-Host "语音引擎初始化失败：请安装中文语音包！" -ForegroundColor Red
      exit
  }
  # 强制终止旧监控进程
  Get-Process | Where-Object { 
      $_.ProcessName -eq "powershell" -and 
      $_.CommandLine -match "ProcessMonitor_Pro" 
  } | Stop-Process -Force
  # 可视化警报初始化
  try {
      [void][System.Reflection.Assembly]::LoadWithPartialName("System.Windows.Forms")
      $NotifyIcon = New-Object System.Windows.Forms.NotifyIcon
      $NotifyIcon.Icon = [System.Drawing.SystemIcons]::Error
      $NotifyIcon.Visible = $true
      $NotifyIcon.BalloonTipIcon = [System.Windows.Forms.ToolTipIcon]::Error
  } catch {
      Write-Host "图形界面初始化失败" -ForegroundColor Red
      exit
  }
  # 主监控循环
  while($true) {
      try {
          $Detected = Get-Process -Name $TargetProcesses -ErrorAction Stop
          
          if($Detected) {
              # 三重警报机制
              1..3 | ForEach-Object {
                  $Speech.SpeakAsync($AlarmText) | Out-Null
                  $NotifyIcon.BalloonTipText = "危险进程：$($Detected.Name -join '、')"
                  $NotifyIcon.ShowBalloonTip(1000)
                  Start-Sleep -Milliseconds 300
              }
              
              # 控制台红屏警报
              Clear-Host
              Write-Host "`a" -NoNewline
              Write-Host "!!! 紧急安全警报 !!!" -ForegroundColor Black -BackgroundColor Red
              Write-Host "检测到进程：" -ForegroundColor Yellow
              $Detected | Format-Table Name, Id, Path -AutoSize
          }
      } catch {
          Write-Host "监控异常：$_" -ForegroundColor Yellow
      }
      
      Start-Sleep $CheckInterval
  }
  # 资源释放
  $NotifyIcon.Dispose()
  $Speech.Dispose()
  

  2. WMIC核弹级清理器

  @echo off
  chcp 65001 >nul
  setlocal enabledelayedexpansion
  :: 强制获取管理员权限（增强版）
  net session >nul 2>&1 || (
      echo 正在申请管理员权限...
      set "batchPath=%~f0"
      set "workDir=%CD%"
      
      powershell -Command "$p = New-Object System.Diagnostics.ProcessStartInfo('cmd'); $p.Arguments = '/c """"""!batchPath!""""""'; $p.WorkingDirectory = '!workDir!'; $p.Verb = 'runas'; $p.WindowStyle = 'Normal'; [System.Diagnostics.Process]::Start($p)"
      exit /b
  )
  :: 日志记录初始化
  set "logfile=%temp%\ATrustClean.log"
  echo [%date% %time%] 清理开始 > "%logfile%"
  :: 核心清理模块（循环10次）
  for /l %%i in (1,1,10) do (
      echo ===== 第%%i次清理循环 ===== >> "%logfile%"
      
      :: 精准打击目标进程
      call :KillProcess "aTrustAgent.exe" >> "%logfile%"
      call :KillProcess "aTrustXtunnel.exe" >> "%logfile%"
      
      :: 添加清理间隔
      timeout /t 1 /nobreak >nul
  )
  :: 最终验证
  tasklist | find /i "aTrust" && (
      echo [警告] 仍有进程残留 >> "%logfile%"
  ) || (
      echo [成功] 所有目标已清除 >> "%logfile%"
  )
  :: 显示结果
  echo ===== 最终状态 =====
  type "%logfile%"
  echo 按任意键关闭窗口...
  pause >nul
  exit /b
  :: 专用进程终止函数
  :KillProcess
  set "target=%~1"
  echo 正在处理进程：%target% >> "%logfile%"
  :: 使用WMIC核打击
  wmic process where "name='%target%'" delete 2>&1 && (
      echo WMIC成功终止：%target% >> "%logfile%"
  ) || (
      echo WMIC未发现：%target% >> "%logfile%"
  )
  :: 补刀操作
  taskkill /f /im "%target%" /t 2>&1 && (
      echo Taskkill补刀成功 >> "%logfile%"
  ) || (
      echo 无需补刀 >> "%logfile%"
  )
  exit /b
  

  ---

  作战手册

  部署流程

  1. 创建武器文件

     • 在桌面新建AntiVirus文件夹
     • 分别保存两个脚本文件

     • 首次打击

       # 启动监控系统
       .\ProcessGuardian.ps1
       # 执行清理程序（管理员身份运行）
       .\Kill_aTrust.bat
       

     • 建立防线

       # 创建开机自启任务
       $Trigger = New-ScheduledTaskTrigger -AtLogOn
       $Action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-File C:\AntiVirus\ProcessGuardian.ps1"
       Register-ScheduledTask -TaskName "系统守卫" -Trigger $Trigger -Action $Action -RunLevel Highest
       

  战损评估

  1. 查看日志文件：%temp%\TerminationReport.log
  2. 使用Process Explorer深度扫描
  3. 检查服务状态：

     Get-Service | Where-Object {$_.Name -match "ATrust"}
     

  ---

  军规条例

  作战守则

  1. 禁止在中文路径存放武器
  2. 执行前关闭第三方杀毒软件
  3. 建议在安全模式（F8）下执行总攻

  应急预案

  # 当遭遇抵抗时
  Get-Process | Where-Object {$_.Name -match "aTrust"} | Stop-Process -Force
  Remove-Item -Path "C:\Program Files\ATrust" -Recurse -Force
  

  ---

  战场情报

  敌方特征

  进程名称	危险等级	伪装形态
  aTrustAgent.exe	★★★★★	系统服务
  aTrustXtunnel.exe	★★★★★	网络守护进程
  aTrustTray.exe	★★★☆☆	托盘监控程序

  战术优势

  ---

  兵法要诀：本方案通过声波震慑+物理摧毁的双重打击，经过本人数十次的搏斗较量整理出来的，目前实测有效。如果你现在在用或者将来要用到，记得每次退出aTrust后Kill一下。