Cách Hủy Tất Cả Lệnh Đã Cài Vào Máy Tính

Tính toán và hướng dẫn cách xóa sạch các lệnh tự động, tác vụ lịch biểu và script độc hại

Hướng dẫn toàn tập: Cách hủy tất cả lệnh đã cài vào máy tính (2024)

Máy tính của bạn có thể chứa hàng trăm lệnh tự động chạy ngầm mà bạn không hề hay biết – từ các tác vụ lịch biểu hợp pháp cho đến mã độc nguy hiểm. Bài viết này sẽ hướng dẫn bạn cách phát hiện và xóa sạch tất cả các lệnh đã cài đặt trên Windows, macOS và Linux thông qua 3 phương pháp chính:

1. Xóa lệnh lịch biểu (Task Scheduler/Cron Jobs)
2. Vô hiệu hóa lệnh khởi động (Startup Programs/Services)
3. Loại bỏ script tự động (.bat, .sh, .ps1 ẩn trong hệ thống)

Phần 1: Hiểu về các loại lệnh tự động trong máy tính

Loại lệnh	Vị trí lưu trữ	Mức độ nguy hiểm	Cách phát hiện
Lệnh lịch biểu (Windows)	Task Scheduler (%windir%\System32\tasks)	Trung bình – Cao	taskschd.msc / Get-ScheduledTask (PowerShell)
Cron Jobs (Linux/macOS)	/var/spool/cron/ hoặc /etc/crontab	Cao (nếu bị sửa đổi)	crontab -l / ls -la /etc/cron*
Startup Programs	Registry (Windows) / ~./config/autostart (Linux)	Thấp – Trung bình	msconfig / Task Manager / systemctl
Windows Services	Registry (HKEY_LOCAL_MACHINE\SYSTEM)	Cao (nếu giả mạo)	services.msc / sc query
Script ẩn (.bat/.sh)	Thư mục hệ thống (%systemroot%, /usr/local/bin)	Rất cao	dir /s *.bat (Windows) / find / -name “*.sh”

Theo nghiên cứu của CISA (Cybersecurity & Infrastructure Security Agency), 68% các cuộc tấn công phần mềm độc hại sử dụng cơ chế persistence thông qua các lệnh tự động được cài sẵn trong hệ thống. Điều này cho thấy tầm quan trọng của việc định kỳ kiểm tra và làm sạch các lệnh không mong muốn.

Phần 2: Hướng dẫn xóa lệnh trên Windows (Bước theo bước)

Lưu ý bảo mật:

Trước khi thực hiện bất kỳ thao tác nào, hãy tạo điểm phục hồi hệ thống (System Restore Point) và sao lưu dữ liệu quan trọng. Các lệnh sai có thể gây hỏng hệ thống.

Hướng dẫn bảo mật chính thức từ Microsoft →

2.1. Xóa lệnh trong Task Scheduler

1. Mở Task Scheduler:
   • Nhấn Win + R, gõ taskschd.msc và Enter
   • Hoặc tìm kiếm “Task Scheduler” trong menu Start
2. Kiểm tra các tác vụ đáng ngờ:
   • Mở thư mục Task Scheduler Library
   • Sắp xếp theo cột “Last Run Time” để tìm các tác vụ chạy gần đây
   • Chú ý các tác vụ có tên ngẫu nhiên (vd: “asd123”, “update_service”)
3. Xóa tác vụ:
   • Click chuột phải vào tác vụ cần xóa → Delete
   • Đối với tác vụ hệ thống: cần quyền Admin
4. Xóa hoàn toàn bằng PowerShell (nâng cao):

   # Liệt kê tất cả tác vụ
   Get-ScheduledTask | Format-Table TaskName, TaskPath, State
   
   # Xóa tác vụ cụ thể
   Unregister-ScheduledTask -TaskName "tên_tác_vụ" -Confirm:$false
   
   # Xóa tất cả tác vụ trong một thư mục
   Get-ScheduledTask -TaskPath "\Path\To\Tasks\" | Unregister-ScheduledTask -Confirm:$false

2.2. Vô hiệu hóa chương trình khởi động

Các chương trình khởi động cùng Windows có thể được quản lý thông qua:

• Task Manager:
  1. Nhấn Ctrl+Shift+Esc → Tab “Startup”
  2. Vô hiệu hóa các mục không cần thiết bằng cách click chuột phải → Disable
• System Configuration (msconfig):
  1. Nhấn Win + R, gõ msconfig → Tab “Startup”
  2. Bỏ chọn các mục không mong muốn → OK → Khởi động lại
• Registry Editor (cẩn thận):
  1. Nhấn Win + R, gõ regedit
  2. Đi đến:
     • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
     • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  3. Xóa các giá trị (value) đáng ngờ ở khung bên phải

2.3. Xóa dịch vụ hệ thống giả mạo

Các dịch vụ giả mạo thường được phần mềm độc hại sử dụng để tồn tại sau khi khởi động:

1. Mở services.msc (nhấn Win + R → gõ services.msc)
2. Sắp xếp theo cột “Description” để tìm các dịch vụ không có mô tả rõ ràng
3. Click chuột phải → Properties → kiểm tra:
   • Path to executable (đường dẫn đến file thực thi)
   • Startup type (kiểu khởi động)
   • Dependencies (các dịch vụ phụ thuộc)
4. Đối với dịch vụ đáng ngờ:
   • Dừng dịch vụ (Stop)
   • Thiết lập Startup type thành “Disabled”
   • Ghi lại tên dịch vụ và đường dẫn file để xóa thủ công

Cảnh báo:

Không bao giờ xóa các dịch vụ hệ thống quan trọng như:

• Dịch vụ có tên bắt đầu bằng “Microsoft” hoặc “Windows”
• Dịch vụ liên quan đến phần cứng (vd: driver âm thanh, card màn hình)
• Dịch vụ bảo mật (vd: Windows Defender, Firewall)

Xem danh sách dịch vụ hệ thống hợp pháp tại: Microsoft Docs →

Phần 3: Hủy lệnh trên macOS và Linux

3.1. macOS: Xóa Launch Agents/Daemons và Cron Jobs

1. Launch Agents/Daemons (tương đương Task Scheduler trên Windows):
   • Mở Terminal và chạy:

     # Liệt kê tất cả launch agents/daemons
     ls -la ~/Library/LaunchAgents/
     ls -la /Library/LaunchAgents/
     ls -la /Library/LaunchDaemons/
     
     # Xóa file đáng ngờ (vd: com.malware.agent.plist)
     rm ~/Library/LaunchAgents/com.malware.agent.plist

   • Sau khi xóa, chạy launchctl unload để dừng tiến trình:

     launchctl unload ~/Library/LaunchAgents/com.malware.agent.plist

2. Cron Jobs:
   • Kiểm tra cron jobs của user hiện tại:

     crontab -l

   • Xóa cron job:

     crontab -e  # Xóa dòng tương ứng rồi lưu file
     

   • Kiểm tra cron jobs hệ thống:

     ls -la /etc/cron*
     cat /etc/crontab

3. Login Items (chương trình khởi động):
   • Mở System Preferences → Users & Groups → Login Items
   • Chọn ứng dụng đáng ngờ → nhấn dấu “-” để xóa

3.2. Linux: Xóa Cron Jobs và Systemd Services

1. Cron Jobs:
   • Kiểm tra cron jobs của user hiện tại:

     crontab -l

   • Xóa tất cả cron jobs:

     crontab -r

   • Kiểm tra cron jobs hệ thống:

     ls -la /etc/cron.d/
     ls -la /etc/cron.daily/
     ls -la /etc/cron.hourly/
     ls -la /etc/cron.monthly/
     ls -la /etc/cron.weekly/
     cat /etc/crontab

2. Systemd Services (tương đương Windows Services):
   • Liệt kê tất cả services:

     systemctl list-units --type=service --all

   • Dừng và vô hiệu hóa service đáng ngờ:

     sudo systemctl stop tên_service
     sudo systemctl disable tên_service

   • Xóa hoàn toàn service:

     sudo rm /etc/systemd/system/tên_service.service
     sudo systemctl daemon-reload
     sudo systemctl reset-failed

3. Startup Applications:
   • Đối với GNOME (Ubuntu, Fedora):

     ls ~/.config/autostart/
     sudo ls /etc/xdg/autostart/

   • Đối với KDE:

     ls ~/.kde/Autostart/
     ls ~/.kde4/Autostart/

Phần 4: Phát hiện và xóa script độc hại ẩn trong hệ thống

Các script độc hại (.bat, .sh, .ps1, .vbs) thường được giấu trong các thư mục hệ thống với tên file giống các file hợp pháp. Dưới đây là cách phát hiện và xóa chúng:

4.1. Windows: Tìm và xóa file script độc hại

1. Tìm kiếm file script:
   • Mở Command Prompt với quyền Admin
   • Chạy lệnh tìm kiếm toàn bộ ổ đĩa:

     # Tìm file .bat
     dir /s /b C:\*.bat > C:\script_list.txt
     dir /s /b C:\*.cmd >> C:\script_list.txt
     
     # Tìm file PowerShell
     dir /s /b C:\*.ps1 >> C:\script_list.txt
     
     # Tìm file VBScript
     dir /s /b C:\*.vbs >> C:\script_list.txt
     
     # Tìm file ẩn trong thư mục hệ thống
     dir /s /b /a:h C:\Windows\*.* >> C:\hidden_files.txt

   • Mở file C:\script_list.txt và C:\hidden_files.txt để kiểm tra
2. Phân tích file đáng ngờ:
   • Sử dụng VirusTotal để quét file
   • Kiểm tra nội dung file bằng Notepad (cẩn thận với file thực thi)
   • Chú ý các file:
     • Có tên ngẫu nhiên (vd: “a1b2c3.bat”)
     • Nằm trong thư mục hệ thống (C:\Windows\Temp, C:\ProgramData)
     • Có ngày sửa đổi gần đây nhưng bạn không nhớ tạo ra
3. Xóa file độc hại:
   • Sử dụng Command Prompt với quyền Admin:

     del /f /q "C:\path\to\malicious_file.bat"
     takeown /f "C:\path\to\protected_file.bat" /a /r /d y
     icacls "C:\path\to\protected_file.bat" /grant Administrators:F /t

   • Đối với file khóa bởi tiến trình:
     • Mở Task Manager → tìm và kết thúc tiến trình liên quan
     • Sử dụng Process Explorer từ Microsoft để unlock file

4.2. macOS/Linux: Tìm và xóa script độc hại

1. Tìm kiếm file script:

   # Tìm file .sh trong toàn hệ thống
   sudo find / -type f -name "*.sh" 2>/dev/null | grep -v "/bin/" | grep -v "/sbin/" > ~/script_list.txt
   
   # Tìm file ẩn trong thư mục home
   find ~ -name ".*" -type f > ~/hidden_files.txt
   
   # Tìm file sửa đổi gần đây
   find / -type f -mtime -7 -exec ls -la {} \; 2>/dev/null | grep -E "\.sh|\.py|\.pl" > ~/recent_scripts.txt

2. Phân tích file:
   • Sử dụng lệnh file để kiểm tra loại file:

     file /path/to/suspicious_file

   • Kiểm tra nội dung file (cẩn thận với file binary):

     head -n 20 /path/to/suspicious_file
     cat /path/to/suspicious_file | grep -E "wget|curl|nc|netcat|rm -rf"

   • Chú ý các dấu hiệu độc hại:
     • Lệnh tải xuống file từ internet (wget, curl)
     • Lệnh kết nối ngược (nc, netcat)
     • Lệnh xóa file hệ thống (rm -rf /)
     • Mã hóa/giấu nội dung (base64, xor)
3. Xóa file độc hại:

   # Xóa file bình thường
   rm /path/to/malicious_file.sh
   
   # Xóa file chỉ đọc
   chmod u+w /path/to/protected_file.sh
   rm /path/to/protected_file.sh
   
   # Xóa file hệ thống (cần sudo)
   sudo rm /path/to/system_malicious_file.sh

Phần 5: Công cụ chuyên nghiệp để quét và xóa lệnh độc hại

Công cụ	Hệ điều hành	Chức năng chính	Miễn phí	Link tải
Autoruns (Microsoft)	Windows	Quét tất cả điểm tự động khởi động (kể cả ẩn)	Có	Tải về
Process Hacker	Windows	Quản lý tiến trình, dịch vụ, và driver hệ thống	Có	Tải về
Rkhunter	Linux	Quét rootkit và backdoor trong hệ thống	Có	sudo apt install rkhunter
Chkrootkit	Linux	Kiểm tra các dấu hiệu xâm nhập hệ thống	Có	sudo apt install chkrootkit
KnockKnock	macOS	Quét các phương thức persistence trên macOS	Có	Tải về
Malwarebytes	Windows/macOS	Quét và loại bỏ phần mềm độc hại, PUP	Phiên bản cơ bản	Tải về

Theo báo cáo của SANS Institute, việc kết hợp sử dụng Autoruns (Windows) hoặc Rkhunter (Linux) với công cụ quét virus truyền thống có thể phát hiện đến 92% các phương thức persistence của malware, so với chỉ 65% khi chỉ sử dụng phần mềm diệt virus đơn thuần.

Phần 6: Phòng ngừa lệnh độc hại tái xuất hiện

Sau khi đã làm sạch hệ thống, bạn cần thực hiện các biện pháp phòng ngừa để tránh bị cài đặt lại các lệnh độc hại:

• Cập nhật hệ thống thường xuyên:
  • Windows: Settings → Windows Update
  • macOS: System Preferences → Software Update
  • Linux: sudo apt update && sudo apt upgrade -y
• Sử dụng tài khoản Standard User:
  • Tránh sử dụng tài khoản Admin cho các tác vụ hàng ngày
  • Trên Windows: tạo tài khoản Standard trong Settings → Accounts → Family & other users
• Bật tính năng bảo mật tích hợp:
  • Windows: Bật Controlled Folder Access trong Windows Defender
  • macOS: Bật Gatekeeper và XProtect
  • Linux: Cấu hình AppArmor hoặc SELinux
• Giám sát các thay đổi hệ thống:
  • Sử dụng Sysmon (Windows) để ghi log hoạt động hệ thống
  • Trên Linux: cấu hình auditd để giám sát file hệ thống
• Quét hệ thống định kỳ:
  • Chạy Autoruns (Windows) hoặc Rkhunter (Linux) hàng tuần
  • Sử dụng crontab -l (Linux/macOS) để kiểm tra cron jobs
• Hạn chế tải phần mềm từ nguồn không rõ ràng:
  • Chỉ tải phần mềm từ trang chủ chính thức
  • Kiểm tra chữ ký số của file tải về
  • Sử dụng VirusTotal để quét file trước khi chạy

Khuyến nghị từ NIST:

Theo National Institute of Standards and Technology (NIST), các tổ chức nên:

1. Thực hiện kiểm toán hệ thống ít nhất mỗi quý
2. Áp dụng nguyên tắc “least privilege” (quyền tối thiểu cần thiết)
3. Sử dụng công cụ quản lý cấu hình như SCCM (Windows) hoặc Ansible (Linux)
4. Huấn luyện nhân viên về nhận biết email lừa đảo (phishing)

Xem hướng dẫn chi tiết từ NIST SP 800-53 →

Phần 7: Các câu hỏi thường gặp (FAQ)

7.1. Làm sao để biết máy tính có bị cài lệnh độc hại hay không?

Các dấu hiệu phổ biến:

• Máy tính chạy chậm bất thường
• Quạt tản nhiệt hoạt động liên tục dù không chạy ứng dụng nặng
• Xuất hiện các tiến trình lạ trong Task Manager
• Lưu lượng mạng tăng cao dù không sử dụng internet
• Các file tự động xuất hiện hoặc biến mất
• Trình duyệt tự động mở các trang web lạ

7.2. Có nên xóa tất cả các lệnh trong Task Scheduler?

Không. Nhiều tác vụ hệ thống và ứng dụng hợp pháp sử dụng Task Scheduler để:

• Cập nhật phần mềm tự động
• Dọn dẹp đĩa (Disk Cleanup)
• Đồng bộ hóa dữ liệu (OneDrive, Google Drive)
• Quét virus định kỳ (Windows Defender)

Chỉ xóa các tác vụ:

• Có tên ngẫu nhiên hoặc không rõ ràng
• Trỏ đến file thực thi ở vị trí bất thường
• Được tạo bởi tài khoản không phải của bạn

7.3. Làm sao để xóa lệnh được cài bởi phần mềm độc hại có quyền SYSTEM?

Các lệnh chạy dưới quyền SYSTEM rất khó xóa. Bạn cần:

1. Khởi động vào Safe Mode:
   • Windows: Nhấn Shift khi chọn Restart → Troubleshoot → Advanced options → Startup Settings → Safe Mode
   • macOS: Khởi động giữ Shift để vào Safe Mode
   • Linux: Thêm init=/bin/bash vào dòng kernel trong GRUB
2. Sử dụng công cụ chuyên dụng:
   • Autoruns (Windows)
   • Trend Micro Rootkit Buster
   • chkrootkit (Linux)
3. Thay đổi quyền sở hữu file (Windows):

   takeown /f "C:\path\to\protected_file" /a
   icacls "C:\path\to\protected_file" /grant Administrators:F
   del "C:\path\to\protected_file"

4. Khôi phục từ bản sao lưu sạch:
   • Nếu không thể xóa, cân nhắc khôi phục hệ thống từ bản sao lưu trước khi bị nhiễm
   • Sử dụng DISM (Windows) hoặc Timeshift (Linux) để phục hồi

7.4. Sau khi xóa lệnh độc hại, cần làm gì tiếp theo?

1. Đổi tất cả mật khẩu:
   • Mật khẩu tài khoản người dùng
   • Mật khẩu email
   • Mật khẩu ngân hàng và mạng xã hội
2. Quét toàn bộ hệ thống bằng nhiều công cụ:
   • Windows Defender Offline Scan
   • Malwarebytes
   • HitmanPro
3. Kiểm tra các thiết bị khác trên cùng mạng:
   • Malware có thể lây lan qua mạng local
   • Đổi mật khẩu router Wi-Fi
4. Cập nhật tất cả phần mềm:
   • Hệ điều hành
   • Trình duyệt web
   • Phần mềm bảo mật
   • Driver phần cứng
5. Theo dõi hệ thống trong 1-2 tuần:
   • Kiểm tra Task Manager định kỳ
   • Giám sát lưu lượng mạng
   • Chú ý các file lạ xuất hiện

7.5. Có nên sử dụng phần mềm “dọn dẹp” để xóa lệnh tự động?

Các phần mềm dọn dẹp như CCleaner, Advanced SystemCare có thể:

Lợi ích	Rủi ro
Giao diện thân thiện Xóa được một số tác vụ không cần thiết Tối ưu hóa hệ thống cơ bản	Có thể xóa nhầm tác vụ hệ thống quan trọng Không phát hiện được malware tiên tiến Một số phần mềm chứa adware Không thay thế được kiến thức chuyên môn

Khuyến nghị: Nên sử dụng các công cụ chuyên nghiệp như Autoruns (Microsoft) hoặc các lệnh thủ công như đã hướng dẫn ở trên. Tránh phụ thuộc hoàn toàn vào phần mềm dọn dẹp tự động.