Cách Gỡ Bỏ Trên Máy Tính Khi Bị Theo Dõi

Nhập thông tin để đánh giá mức độ nghiêm trọng và nhận hướng dẫn gỡ bỏ phần mềm gián điệp

Hướng Dẫn Toàn Diện: Cách Gỡ Bỏ Phần Mềm Theo Dõi Trên Máy Tính (2024)

Trong thời đại số hóa, vấn đề bị theo dõi trái phép trên máy tính không còn là chuyện hiếm gặp. Theo báo cáo của Kaspersky, có đến 32% người dùng Việt Nam từng gặp phải phần mềm gián điệp (spyware) trong năm 2023. Bài viết này sẽ cung cấp hướng dẫn chi tiết từ A-Z để bạn có thể tự phát hiện và gỡ bỏ hoàn toàn các phần mềm theo dõi trên máy tính.

1. Dấu Hiệu Nhận Biết Máy Tính Bị Theo Dõi

Trước khi tiến hành gỡ bỏ, bạn cần xác định liệu máy tính có thực sự bị theo dõi hay không. Dưới đây là những dấu hiệu điển hình:

• Hiệu suất máy giảm đột ngột: CPU sử dụng cao bất thường (kiểm tra trong Task Manager)
• Quạt tản nhiệt hoạt động liên tục: Dấu hiệu của quá trình mã hóa hoặc truyền dữ liệu ngầm
• Pin hao nhanh bất thường: Phần mềm gián điệp tiêu tốn nhiều năng lượng
• Lưu lượng mạng tăng đột biến: Kiểm tra trong Network Monitor (Windows) hoặc Activity Monitor (macOS)
• Cửa sổ quảng cáo bật lên: Dấu hiệu của adware thường đi kèm với spyware
• Con trỏ chuột di chuyển tự động: Dấu hiệu của phần mềm điều khiển từ xa (RAT)
• Tệp tin tự động xuất hiện/mất tích: Kiểm tra thư mục Recent và Temp

Bảng so sánh dấu hiệu bị theo dõi giữa Windows và macOS

Dấu hiệu	Windows	macOS	Mức độ nguy hiểm
CPU sử dụng cao bất thường	Task Manager → 80%+ khi không chạy ứng dụng nặng	Activity Monitor → Kernel_task > 200%	Cao
Lưu lượng mạng bất thường	Resource Monitor → Network tab	Activity Monitor → Network tab	Rất cao
Quạt chạy liên tục	Kiểm tra nhiệt độ bằng HWMonitor	Kiểm tra bằng iStat Menus	Trung bình
Pin hao nhanh	Powercfg /batteryreport	System Information → Power	Cao

2. Các Loại Phần Mềm Theo Dõi Phổ Biến

Có nhiều loại phần mềm gián điệp khác nhau với mức độ nguy hiểm khác nhau:

1. Keyloggers: Ghi lại mọi thao tác bàn phím (mật khẩu, tin nhắn). Ví dụ: KidLogger, Spyrix
2. Screen capture: Chụp màn hình định kỳ. Ví dụ: SpyAgent, WebWatcher
3. RAT (Remote Access Trojan): Cho phép điều khiển từ xa. Ví dụ: DarkComet, NanoCore
4. Adware/Spyware kết hợp: Thu thập dữ liệu đồng thời hiển thị quảng cáo. Ví dụ: FinFisher
5. Mobile spyware: Theo dõi cả máy tính và điện thoại đồng bộ. Ví dụ: mSpy, FlexiSPY

Nguồn thông tin uy tín:

https://www.fbi.gov/investigate/cyber

Cục Điều tra Liên bang Hoa Kỳ (FBI) cung cấp thông tin chi tiết về các mối đe dọa mạng hiện nay và cách phòng chống.

https://www.us-cert.gov/ncas/tips

CISA (Cơ quan An ninh Hạ tầng và An ninh Mạng Hoa Kỳ) cung cấp hướng dẫn an toàn mạng cho người dùng cá nhân.

3. Hướng Dẫn Gỡ Bỏ Phần Mềm Theo Dõi Bước Bước

Quá trình gỡ bỏ cần được thực hiện cẩn thận để tránh mất dữ liệu hoặc làm hỏng hệ thống. Dưới đây là quy trình chuẩn:

Bước 1: Ngắt kết nối mạng

Trước tiên, ngắt kết nối internet (rút cáp mạng hoặc tắt Wi-Fi) để ngăn chặn phần mềm gián điệp gửi dữ liệu hoặc nhận lệnh từ xa.

Bước 2: Khởi động ở chế độ Safe Mode

• Windows: Nhấn F8 khi khởi động (Windows 7) hoặc Shift + Restart → Troubleshoot → Advanced → Startup Settings → Safe Mode (Windows 10/11)
• macOS: Khởi động giữ phím Shift cho đến khi thấy logo Apple

Bước 3: Quét hệ thống bằng phần mềm chuyên dụng

Sử dụng ít nhất 2 công cụ sau để quét toàn bộ hệ thống:

• Malwarebytes (phát hiện spyware chuyên sâu)
• Kaspersky TDSSKiller (phát hiện rootkit)
• Emsisoft Emergency Kit (quét offline)
• Avast Anti-Track (chuyên loại bỏ tracker)

Bước 4: Kiểm tra và xóa các tiến trình đáng ngờ

Windows: Mở Task Manager (Ctrl+Shift+Esc) → kiểm tra các tiến trình lạ (chuột phải → Open file location). Các tiến trình phổ biến của spyware:

• csrss.exe (giả mạo)
• svchost.exe (nhiều instance bất thường)
• Tên ngẫu nhiên như “qwerty.exe” hoặc “12345.exe”

macOS: Mở Activity Monitor → kiểm tra các tiến trình tiêu tốn nhiều CPU/mạng như:

• kernel_manager
• macos_service
• Các tiến trình không rõ nguồn gốc

Bước 5: Kiểm tra và xóa các tệp khởi động

Windows:

• Task Manager → Startup tab → vô hiệu hóa các mục đáng ngờ
• msconfig → Startup tab (Windows 7)
• Kiểm tra các thư mục:
  • C:\Users\[YourUsername]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
  • C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

macOS:

• System Preferences → Users & Groups → Login Items
• Kiểm tra các thư mục:
  • /Library/LaunchAgents/
  • /Library/LaunchDaemons/
  • ~/Library/LaunchAgents/

Bước 6: Kiểm tra và xóa các phần mềm gián điệp phổ biến

Dưới đây là danh sách các phần mềm gián điệp phổ biến và vị trí thường trú ngụ:

Phần mềm gián điệp phổ biến và vị trí cài đặt

Tên phần mềm	Nhà phát triển	Vị trí cài đặt thường gặp	Cách phát hiện
mSpy	mSpy Ltd.	C:\Program Files\MSpy C:\Users\AppData\Roaming\MSpy	Tiến trình: mSpyService.exe
FlexiSPY	Vervata	C:\Program Files\FlexiSPY C:\Windows\System32\drivers\fsdriver.sys	Tiến trình: FlexiSPY.exe, FSService.exe
Spyrix	Spyrix	C:\Program Files\Spyrix C:\Users\AppData\Local\Spyrix	Tiến trình: Spyrix.exe, SRService.exe
KidLogger	KidLogger.net	C:\Program Files\KidLogger C:\Users\AppData\Roaming\KidLogger	Tiến trình: KidLogger.exe, KLService.exe

Bước 7: Kiểm tra và làm sạch registry (Windows)

Mở Registry Editor (Win + R → gõ “regedit”) và kiểm tra các khóa sau:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
• HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Xóa các mục đáng ngờ (chuột phải → Delete). Cảnh báo: Không xóa các mục của hệ thống hoặc phần mềm hợp pháp.

Bước 8: Kiểm tra và làm sạch các tệp tạm

Xóa các tệp tạm có thể chứa mã độc:

• Windows: %temp% (nhấn Win + R → gõ %temp% → Enter → xóa tất cả)
• macOS: ~/Library/Caches/ (xóa các thư mục không rõ nguồn gốc)

Bước 9: Đổi tất cả mật khẩu quan trọng

Sau khi đã làm sạch hệ thống, đổi mật khẩu cho:

• Tài khoản người dùng máy tính
• Email chính
• Tài khoản ngân hàng và ví điện tử
• Mạng xã hội
• Các dịch vụ đám mây (Google Drive, iCloud, Dropbox)

Sử dụng mật khẩu mạnh (ít nhất 12 ký tự, kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt) và bật xác thực 2 yếu tố.

Bước 10: Cập nhật hệ thống và phần mềm

Cập nhật toàn bộ hệ thống và phần mềm lên phiên bản mới nhất để vá các lỗ hổng bảo mật:

• Windows Update (Settings → Update & Security)
• Software Update (macOS)
• Cập nhật trình duyệt (Chrome, Firefox, Safari)
• Cập nhật phần mềm diệt virus

Bước 11: Khôi phục cài đặt gốc (nếu cần thiết)

Nếu sau tất cả các bước trên vẫn phát hiện dấu hiệu bị theo dõi, bạn nên cân nhắc khôi phục cài đặt gốc:

• Windows: Settings → Update & Security → Recovery → Reset this PC
• macOS: Khởi động ở Recovery Mode (Cmd + R) → Disk Utility → Erase → Reinstall macOS

Lưu ý: Sao lưu tất cả dữ liệu quan trọng trước khi thực hiện. Sử dụng ổ đĩa ngoài hoặc dịch vụ đám mây đáng tin cậy.

4. Phòng Ngừa Tái Phát

Sau khi đã làm sạch hệ thống, bạn cần thực hiện các biện pháp phòng ngừa để tránh bị theo dõi lại:

• Cài đặt phần mềm diệt virus mạnh: Kaspersky, Bitdefender, Norton 360
• Sử dụng tường lửa (Firewall): Bật Windows Defender Firewall hoặc sử dụng phần mềm bên thứ ba như GlassWire
• Cập nhật hệ thống thường xuyên: Bật tính năng cập nhật tự động
• Sử dụng mật khẩu mạnh và quản lý mật khẩu: Bitwarden, 1Password, LastPass
• Tránh tải phần mềm lậu/crack: Nguồn gốc không rõ ràng là con đường phổ biến lây nhiễm spyware
• Sử dụng VPN khi truy cập mạng công cộng: ProtonVPN, NordVPN, ExpressVPN
• Kiểm tra định kỳ: Chạy quét hệ thống ít nhất 1 lần/tuần
• Giáo dục người dùng: Không click vào liên kết đáng ngờ hoặc mở tệp đính kèm từ email lạ

5. Các Công Cụ Hữu Ích Để Phát Hiện Spyware

Công cụ phát hiện và gỡ bỏ spyware hiệu quả

Tên công cụ	Nhà phát triển	Tính năng nổi bật	Giá (USD)	Link tải
Malwarebytes	Malwarebytes	Phát hiện spyware chuyên sâu Quét nhanh và hiệu quả Bảo vệ thời gian thực	39.99/năm	Tải xuống
SpyHunter	EnigmaSoft	Công nghệ quét đa lớp Phát hiện rootkit Hỗ trợ kỹ thuật 24/7	42/năm	Tải xuống
Kaspersky TDSSKiller	Kaspersky Lab	Chuyên phát hiện rootkit Quét ở mức hệ thống thấp Miễn phí	Miễn phí	Tải xuống
Emsisoft Emergency Kit	Emsisoft	Quét offline (không cần cài đặt) Phát hiện malware tiên tiến Giao diện thân thiện	Miễn phí	Tải xuống
GlassWire	SecureMix LLC	Giám sát lưu lượng mạng Phát hiện kết nối đáng ngờ Giao diện trực quan	39/năm	Tải xuống

6. Các Trường Hợp Đặc Biệt Cần Lưu Ý

Một số tình huống đặc biệt đòi hỏi cách xử lý riêng:

6.1. Máy tính công ty bị theo dõi

Nếu nghi ngờ máy tính công ty bị theo dõi:

• Báo cáo ngay cho bộ phận IT
• Không tự ý gỡ bỏ nếu không có quyền hạn
• Tuân thủ chính sách bảo mật của công ty
• Sử dụng máy tính cá nhân cho công việc nhạy cảm nếu cần

6.2. Bị theo dõi qua thiết bị di động đồng bộ

Nếu máy tính và điện thoại đồng bộ (qua iCloud, Google Account):

• Ngắt kết nối đồng bộ tạm thời
• Kiểm tra cả điện thoại bằng phần mềm như Certo (iOS) hoặc Malwarebytes (Android)
• Đổi mật khẩu tài khoản đồng bộ
• Vô hiệu hóa các ứng dụng quản lý thiết bị từ xa (Find My iPhone, Find My Device)

6.3. Bị theo dõi qua phần cứng (keylogger vật lý)

Một số phần mềm gián điệp có thể được cài đặt qua phần cứng:

• Kiểm tra cổng USB, PS/2 có thiết bị lạ không
• Kiểm tra bên trong case máy tính (nếu có kiến thức)
• Sử dụng đèn pin chiếu vào bàn phím để phát hiện keylogger quang học
• Nếu phát hiện, tháo bỏ và thay thế phần cứng bị ảnh hưởng

7. Khi Nào Cần Nhờ Chuyên Gia

Bạn nên cân nhắc nhờ đến sự trợ giúp của chuyên gia bảo mật trong các trường hợp sau:

• Sau khi thực hiện tất cả các bước trên vẫn phát hiện dấu hiệu bị theo dõi
• Phát hiện phần mềm gián điệp chuyên nghiệp (FinFisher, Pegasus)
• Máy tính chứa dữ liệu cực kỳ nhạy cảm (tài chính, quốc phòng)
• Bạn không có kiến thức kỹ thuật để xử lý
• Nghi ngờ bị tấn công có chủ đích (APT – Advanced Persistent Threat)

Các tổ chức bạn có thể liên hệ:

• Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT)
• CERT Coordination Center (Carnegie Mellon University)
• Các công ty bảo mật uy tín tại Việt Nam như BKAV, CMC InfoSec

8. Các Sai Lầm Thường Gặp Khi Gỡ Bỏ Spyware

Nhiều người mắc phải những sai lầm khiến tình trạng trở nên tồi tệ hơn:

1. Xóa nhầm tệp hệ thống: Có thể làm hỏng Windows/macOS. Luôn sao lưu trước khi xóa.
2. Chỉ sử dụng một công cụ quét: Mỗi công cụ có cơ sở dữ liệu khác nhau. Nên dùng ít nhất 2-3 công cụ.
3. Không ngắt kết nối mạng: Spyware có thể tải về thêm mã độc hoặc gửi dữ liệu trong quá trình gỡ bỏ.
4. Bỏ qua các bản cập nhật: Lỗ hổng chưa vá là cửa ngõ cho spyware quay trở lại.
5. Không đổi mật khẩu: Spyware có thể đã đánh cắp mật khẩu trước khi bị gỡ bỏ.
6. Tải phần mềm gỡ bỏ từ nguồn không rõ: Nhiều website giả mạo cung cấp “công cụ gỡ spyware” thực chất là spyware.
7. Không kiểm tra các thiết bị khác: Spyware có thể lây lan qua mạng nội bộ.

9. Các Câu Hỏi Thường Gặp

Câu 1: Làm sao để biết chắc chắn máy tính có bị theo dõi hay không?

Không có cách nào chắc chắn 100% ngoài việc phân tích bởi chuyên gia. Tuy nhiên, nếu bạn phát hiện ít nhất 3 dấu hiệu trong phần 1 của bài viết, khả năng bị theo dõi là rất cao (theo nghiên cứu của SANS Institute, 87% trường hợp có ≥3 dấu hiệu thì thực sự bị theo dõi).

Câu 2: Tôi có nên format ổ cứng để loại bỏ hoàn toàn spyware?

Format ổ cứng (xóa sạch và cài lại hệ điều hành) là cách hiệu quả nhất để loại bỏ hoàn toàn spyware, bao gồm cả rootkit. Tuy nhiên, bạn cần:

• Sao lưu dữ liệu quan trọng trước khi format
• Sử dụng công cụ format chuyên sâu như DBAN (Darik’s Boot and Nuke) để xóa sạch
• Cài đặt lại hệ điều hành từ nguồn tin cậy (USB/DVD gốc)

Câu 3: Spyware có thể theo dõi qua webcam không?

Có. Nhiều loại spyware như BlackShades có khả năng bật webcam và microphone từ xa. Để phòng ngừa:

• Che webcam khi không sử dụng
• Sử dụng phần mềm như Oversight (macOS) hoặc vô hiệu hóa webcam trong Device Manager (Windows)
• Kiểm tra đèn báo webcam (nếu sáng khi không sử dụng là dấu hiệu cảnh báo)

Câu 4: Tôi có thể bị theo dõi qua mạng Wi-Fi không?

Có, thông qua các hình thức:

• Wi-Fi giả mạo: Kẻ tấn công tạo điểm phát Wi-Fi giả (ví dụ: “Free_WiFi”) để đánh cắp dữ liệu.
• Sniffing: Sử dụng phần mềm như Wireshark để chặn và phân tích lưu lượng mạng.
• DNS spoofing: Đổi hướng bạn đến các website giả mạo.

Để phòng ngừa:

• Sử dụng VPN khi kết nối Wi-Fi công cộng
• Bật tường lửa và sử dụng phần mềm bảo mật
• Kiểm tra tên mạng Wi-Fi chính xác trước khi kết nối
• Sử dụng HTTPS Everywhere (tiện ích mở rộng trình duyệt)

Câu 5: Làm sao để bảo vệ trẻ em khỏi bị theo dõi?

Trẻ em là đối tượng dễ bị tấn công do thiếu kiến thức về bảo mật. Các biện pháp bảo vệ:

• Cài đặt phần mềm kiểm soát của phụ huynh như Qustodio hoặc Google Family Link
• Giáo dục trẻ về nguy cơ trực tuyến (không chia sẻ thông tin cá nhân, không click liên kết lạ)
• Thiết lập tài khoản người dùng riêng cho trẻ với quyền hạn hạn chế
• Sử dụng DNS gia đình như CleanBrowsing để chặn nội dung độc hại
• Kiểm tra định kỳ máy tính của trẻ bằng phần mềm diệt virus

Nguồn thông tin bổ sung:

https://www.staysafeonline.org

National Cyber Security Alliance cung cấp tài nguyên giáo dục về an toàn mạng cho mọi lứa tuổi.

https://www.consumer.ftc.gov/topics/privacy-identity-online-security

Ủy ban Thương mại Liên bang Hoa Kỳ (FTC) cung cấp hướng dẫn về bảo vệ thông tin cá nhân trực tuyến.

10. Kết Luận

Việc phát hiện và gỡ bỏ phần mềm theo dõi trên máy tính đòi hỏi sự kiên nhẫn và kiến thức kỹ thuật. Quá trình này bao gồm:

1. Nhận diện các dấu hiệu bất thường
2. Sử dụng công cụ chuyên dụng để quét và loại bỏ
3. Làm sạch hệ thống một cách toàn diện
4. Thực hiện các biện pháp phòng ngừa lâu dài

Hãy nhớ rằng, phòng ngừa luôn tốt hơn chữa trị. Thói quen sử dụng máy tính an toàn, cập nhật hệ thống thường xuyên và sử dụng phần mềm bảo mật đáng tin cậy sẽ giúp bạn giảm thiểu đáng kể nguy cơ bị theo dõi.

Nếu bạn nghi ngờ máy tính của mình đang bị theo dõi với mục đích tội phạm (lừa đảo, tống tiền), hãy báo cáo ngay với cơ quan chức năng:

• Việt Nam: Cảnh sát phòng chống tội phạm sử dụng công nghệ cao
• Hoa Kỳ: Internet Crime Complaint Center (IC3)

Hy vọng hướng dẫn này đã cung cấp cho bạn đủ kiến thức để tự bảo vệ mình khỏi các mối đe dọa trực tuyến. Hãy luôn cập nhật kiến thức bảo mật và thận trọng trong mọi hoạt động trên không gian mạng.