Cách kiểm tra máy tính có bị theo dõi không là quy trình rà soát phần mềm gián điệp, keylogger, truy cập từ xa, quyền camera và nhật ký đăng nhập để phát hiện dấu hiệu xâm nhập trái phép. Cập nhật 04/2026, bài này tập trung vào các bước kiểm tra thực hành trên Windows 10 và Windows 11, đủ sâu để người dùng văn phòng tự làm trước khi quyết định quét nâng cao hoặc gọi kỹ thuật.
Bảng kiểm nhanh để phát hiện dấu hiệu theo dõi
Bạn nên bắt đầu bằng một bảng kiểm ngắn, vì đa số ca nghi bị theo dõi không lộ ra ở một dấu hiệu duy nhất mà là tổ hợp nhiều bất thường xuất hiện cùng lúc.
| Hạng mục kiểm tra | Công cụ/Vị trí | Mức bình thường khi rảnh | Dấu hiệu đáng nghi | Việc cần làm ngay |
|---|---|---|---|---|
| CPU Usage | Task Manager > Processes | 2–15% | 40%+ khi không mở việc nặng | Xác định tiến trình chiếm CPU |
| RAM Usage | Task Manager > Processes | 35–70% tùy máy | Tăng liên tục dù ít ứng dụng | So tên tiến trình và Startup Apps |
| Recent Files | File Explorer > Home | Chỉ có file bạn mở | Có tài liệu mở vào giờ lạ | Ghi lại tên file, thời gian |
| Login History | Event Viewer | Đúng giờ làm việc của bạn | Có logon lúc khuya/sáng sớm | Kiểm tra Event ID 4624, 4672 |
| Windows Security | Virus & threat protection | Không có cảnh báo | Có threat history, quarantine | Chạy Quick scan rồi Full scan |
| Microsoft Defender Antivirus | Protection updates | Đã cập nhật | Definitions quá cũ | Cập nhật rồi quét lại |
| Windows Defender Firewall | Firewall & network protection | Đang bật | Tự tắt hoặc có rule lạ | Bật lại, rà app được phép qua tường lửa |
| Webcam Indicator LED | Đèn webcam | Tắt khi không dùng | Tự sáng dù không họp | Kiểm tra Camera Permissions |
| Browser Extensions | Chrome/Edge/Firefox | Ít extension thật sự dùng | Có add-on lạ, đọc dữ liệu trang web | Gỡ ngay extension không rõ nguồn |
| AnyDesk / TeamViewer / RDP | Apps, Services, Startup | Chỉ có khi bạn cài | Tự khởi động cùng Windows | Gỡ hoặc chặn khởi chạy |
| Startup Apps | Settings > Apps > Startup | 5–10 mục quen thuộc | Có app lạ trạng thái On | Tắt thử rồi theo dõi |
| Process Explorer | Sysinternals | Chỉ dùng khi chẩn đoán | Thấy process ẩn, parent-child lạ | Chụp màn hình, lưu tên file |
| Event Viewer | Windows Security Log | Có log bảo mật định kỳ | Logon type lạ, lặp nhiều lần | Đối chiếu với giờ sử dụng thực tế |
⚠️ Lưu ý: CPU Usage hoặc RAM Usage cao không tự động đồng nghĩa máy bị theo dõi. Windows Update, đồng bộ cloud, index file và trình duyệt nhiều tab cũng có thể tạo mức tải cao trong vài phút.
Ba dấu hiệu thực tế tôi thường ưu tiên đối chiếu đầu tiên là Recent Files, Login History và danh sách ứng dụng điều khiển từ xa. Nếu cả ba cùng bất thường, khả năng chỉ là “máy chậm ngẫu nhiên” sẽ thấp đi rất nhiều. Chủ đề này liên quan đến kiểm tra máy tính có bị theo dõi không.
Đọc thêm: Sửa Máy Tính Tại Nhà Đà Nẵng: Bảng Giá, Quy Trình Và Cách Chọn Dịch Vụ 2026
Kiểm tra Recent Files và Login History trước
Nếu cần trả lời nhanh máy có bị người khác mở lén hay không, hãy kiểm tra Recent Files và Login History trước vì đây là hai dấu vết dễ nhìn nhất với người dùng phổ thông.
Mở File Explorer rồi vào Home hoặc Quick Access để xem Recent Files. Nếu bạn thấy file hợp đồng, bảng lương, file Excel nội bộ hoặc thư mục ảnh vừa xuất hiện trong danh sách dù mình không hề mở, đó là tín hiệu rất đáng chú ý.
Sau đó mở Event Viewer theo đường dẫn Windows Logs > Security để xem Windows Security Log. Theo tài liệu Microsoft, Event ID 4624 là đăng nhập thành công và Event ID 4672 là phiên đăng nhập được gán quyền đặc biệt; hai log này cần được đối chiếu với thời gian thực tế bạn sử dụng máy.
Event 4624 và 4672 khác nhau ở điểm nào?
4624 cho biết có một phiên đăng nhập thành công được tạo trên máy. 4672 cho biết phiên đăng nhập đó có quyền nhạy cảm hoặc quyền quản trị cao hơn bình thường, nên giá trị cảnh báo mạnh hơn nếu nó xuất hiện vào thời điểm bạn không dùng máy.
Bạn không nên nhìn mỗi mã sự kiện. Hãy nhìn thêm mốc giờ, tên tài khoản, tần suất lặp và bối cảnh. Một phiên 4624 lúc 02:13 sáng kèm 4672, trong khi máy đặt ở văn phòng và không ai trực, đáng nghi hơn rất nhiều so với log xuất hiện ngay sau lúc bạn vừa đăng nhập buổi sáng.
Kinh nghiệm thực tế 1: Với máy kế toán văn phòng, chúng tôi từng gặp trường hợp người dùng nghĩ bị cài spyware vì bảng lương xuất hiện trong Recent Files lúc 21:47. Khi kiểm tra sâu hơn, Login History không có logon lạ nhưng OneDrive đồng bộ lại thư mục Desktop làm tài liệu nổi lên trong danh sách gần đây. Ca đó không phải theo dõi trái phép, nhưng nếu chỉ nhìn một dấu hiệu đơn lẻ thì rất dễ kết luận sai. Với trường hợp này, cách kiểm tra đời máy tính cũng hữu ích.
Có thể bạn quan tâm: Sửa máy tính Quận 1 | Hướng dẫn thực hiện từ các chuyên gia
So tiến trình, CPU Usage và RAM Usage như kỹ thuật viên
Khi nghi máy bị theo dõi, hãy nhìn vào tiến trình chạy nền trước khi nhìn đến kết luận “bị hack”. Task Manager và Process Explorer sẽ cho bạn biết hệ thống đang âm thầm làm gì.
Mở Task Manager rồi sắp xếp theo CPU Usage và RAM Usage. Nếu bạn đã đóng hết trình duyệt, Teams, phần mềm đồ họa mà máy vẫn giữ CPU quanh 30–50% trong nhiều phút, hoặc RAM tăng dần không có lý do rõ ràng, hãy chụp lại tên process đứng đầu.
Process Explorer của Microsoft Sysinternals mạnh hơn Task Manager vì cho thấy quan hệ tiến trình cha-con, handle, DLL đã nạp và đường dẫn thực thi. Đây là công cụ rất hữu ích khi bạn cần tách tiến trình hợp lệ khỏi tiến trình ngụy trang tên giống hệ thống.
So sánh thực dụng giữa hai công cụ:
| Tiêu chí | Task Manager | Process Explorer |
|---|---|---|
| Mức độ quen thuộc | Rất dễ dùng | Cần biết tên process |
| Xem CPU Usage, RAM Usage | Có | Có |
| Xem tiến trình cha-con | Hạn chế | Rõ ràng |
| Xem đường dẫn file thực thi | Cơ bản | Chi tiết hơn |
| Xem handle/DLL | Không | Có |
| Phù hợp người dùng phổ thông | Cao | Trung bình |
| Phù hợp chẩn đoán spyware/keylogger | Trung bình | Cao |
Nếu bạn thấy process tên lạ chạy từ thư mục tạm, AppData bất thường hoặc đường dẫn người dùng không quen thuộc, đừng vội xóa tay. Hãy ngắt mạng, chụp màn hình, ghi lại tên file và quét bằng Windows Security trước. Hướng dẫn chi tiết có trong bài cách tra thông số máy tính.
Bài viết liên quan: Sửa máy tính tại nhà Đống Đa chuyên nghiệp, lấy ngay
Windows Security, Defender và Firewall nói gì về máy bạn?
Một máy bị theo dõi bằng spyware hoặc keylogger thường để lại dấu vết ở lớp bảo vệ cơ bản của Windows, nên bỏ qua Windows Security là thiếu một nửa cuộc kiểm tra.
Vào Windows Security > Virus & threat protection để xem cảnh báo, lịch sử phát hiện và chạy quét. Theo Microsoft, khu vực này tập trung các tính năng bảo vệ chống virus, malware, ransomware của Microsoft Defender Antivirus và cho phép chạy Quick scan khi nghi có mã độc.
Tiếp theo vào Firewall & network protection để xác nhận Windows Defender Firewall còn bật. Theo tài liệu Microsoft, tường lửa này lọc lưu lượng mạng và chặn truy cập trái phép dựa trên IP, cổng mạng và đường dẫn ứng dụng; nếu nó bị tắt ngoài ý muốn, rủi ro truy cập từ xa tăng rõ rệt.
Bạn nên kiểm tra thêm 3 điểm:
Protection updates của Microsoft Defender Antivirus có mới không.
Allowed apps trong tường lửa có ứng dụng lạ không.
Threat history có mục bị cách ly lặp đi lặp lại không.
Trong thực tế, keylogger nhẹ thường không làm CPU Usage tăng vọt như miner hay spyware nặng, nhưng lại hay để lại dấu hiệu ở Startup, quyền truy cập bàn phím, extension trình duyệt hoặc rule cho ứng dụng qua mạng. Vì vậy quét antivirus là cần thiết, nhưng không đủ để kết luận mọi thứ đã sạch.
Video minh họa cách rà soát các dấu hiệu máy tính bị theo dõi, phù hợp để đối chiếu thao tác với bài viết.
Chủ đề liên quan: Sửa máy tính tại nhà quận 3 uy tín, lấy liền sau 20 phút
Rà soát RDP, AnyDesk, TeamViewer và Startup Apps
Máy bị theo dõi không phải lúc nào cũng do mã độc phức tạp; rất nhiều trường hợp chỉ là cài sẵn công cụ truy cập từ xa rồi để tự khởi động cùng Windows.
Mở Settings > Apps > Startup để xem Startup Apps. Nếu bạn thấy AnyDesk, TeamViewer hoặc app không rõ nhà phát hành đang ở trạng thái On, đó là ưu tiên xử lý cao.
Song song, kiểm tra:
Điểm cần so sánh rõ là thế này: RDP là tính năng hệ thống của Windows, thường dùng trong môi trường quản trị. AnyDesk và TeamViewer là ứng dụng bên thứ ba, cài nhanh và rất hay xuất hiện trong các ca “người khác vào máy giúp rồi quên gỡ”. Với máy cá nhân hoặc kế toán nội bộ, việc tồn tại đồng thời RDP bật, AnyDesk có mặt trong Startup Apps và Firewall cho phép kết nối là tổ hợp có mức rủi ro cao hơn hẳn từng yếu tố đứng riêng.
Kinh nghiệm thực tế 2: Một máy lễ tân tại TP.HCM từng bị nghi cài spyware vì webcam tự sáng vài giây và chuột thỉnh thoảng tự di chuyển. Kiểm tra không thấy malware rõ ràng, nhưng trong Startup Apps có AnyDesk, trong Firewall có rule cho app này, và Event Viewer xuất hiện log đăng nhập muộn sau giờ làm. Thủ phạm không phải “virus vô hình” mà là phần mềm remote cũ còn lưu quyền truy cập.
Webcam Indicator LED, Camera Permissions và Browser Extensions
Nếu mục tiêu của người theo dõi là nhìn màn hình, xem webcam hoặc lấy thông tin đăng nhập, bạn phải kiểm tra cả lớp camera lẫn trình duyệt chứ không chỉ nhìn antivirus.
Hãy quan sát Webcam Indicator LED. Nếu đèn webcam sáng khi bạn không họp, không mở Camera, Zoom hay Teams, đó là dấu hiệu phải kiểm tra ngay danh sách ứng dụng đang dùng camera.
Vào Settings > Privacy & security > Camera để kiểm tra Camera Permissions. Microsoft hướng dẫn rõ bạn có thể bật/tắt quyền camera cho thiết bị, cho ứng dụng Store và cho desktop app tại đây; đây là nơi cần xem đầu tiên khi nghi bị truy cập webcam trái phép.
Đừng bỏ qua Browser Extensions. Một extension đọc toàn bộ dữ liệu trang web, clipboard hoặc form đăng nhập có thể nguy hiểm không kém spyware mức nhẹ. Hãy vào trang quản lý extension của Chrome, Edge hoặc Firefox rồi gỡ các tiện ích:
Bạn không nhớ đã cài.
Đòi quyền đọc và thay đổi dữ liệu trên mọi website.
Tự chuyển trang chủ, công cụ tìm kiếm hoặc chèn quảng cáo.
Không có nhà phát triển rõ ràng.
Không dùng nhiều tháng nhưng vẫn đang bật.
Thuật ngữ: spyware là phần mềm âm thầm thu thập dữ liệu. keylogger là một nhánh theo dõi chuyên ghi thao tác bàn phím. Browser Extensions độc hại thường không được gọi là spyware theo nghĩa cổ điển, nhưng vẫn có thể đóng vai trò đánh cắp thông tin đăng nhập.
Khi nào nên nghi có spyware hoặc keylogger thật sự?
Bạn nên nghi có spyware hoặc keylogger thật sự khi cùng lúc có dấu vết ở log, tiến trình, khởi động cùng Windows và truy cập dữ liệu, chứ không chỉ vì máy chậm hoặc nóng hơn bình thường.
Mức nghi ngờ tăng mạnh khi bạn gặp ít nhất 4 trong 7 tình huống sau:
Recent Files có tài liệu nhạy cảm mở vào giờ lạ.
Login History xuất hiện 4624 hoặc 4672 ngoài thời gian sử dụng.
CPU Usage hoặc RAM Usage tăng kéo dài khi máy đang rảnh.
AnyDesk, TeamViewer hoặc RDP đang bật mà bạn không chủ động dùng.
Webcam Indicator LED sáng không rõ lý do.
Browser Extensions có tiện ích lạ đọc dữ liệu mọi website.
Windows Security báo phát hiện, cách ly hoặc bị tắt tính năng bảo vệ.
Nếu bạn cần một thứ tự xử lý an toàn, hãy đi theo chuỗi này: ngắt mạng, chụp lại bằng chứng, tắt Startup Apps lạ, quét bằng Microsoft Defender Antivirus, đổi mật khẩu từ thiết bị khác sạch, rồi mới cân nhắc gỡ app hoặc sao lưu dữ liệu.
Có nên cài lại Windows ngay không?
Không phải lúc nào cũng nên cài lại ngay. Nếu bạn còn cần giữ bằng chứng truy cập trái phép trong doanh nghiệp, việc xóa sạch ngay có thể làm mất log quan trọng.
Ngược lại, với máy cá nhân chứa tài khoản ngân hàng, email, Facebook Business hoặc dữ liệu khách hàng, cài lại Windows sau khi sao lưu file sạch là phương án đáng cân nhắc nếu đã có nhiều chỉ dấu đồng thời và không thể xác minh độ sạch của hệ thống.
Câu Hỏi Thường Gặp
Máy tính chậm có phải là bị theo dõi không?
Không. Máy chậm chỉ là một dấu hiệu nền. Bạn cần đối chiếu thêm Task Manager, Login History, Startup Apps và Recent Files trước khi nghi có theo dõi.
Có thể phát hiện keylogger chỉ bằng Windows Security không?
Không hoàn toàn. Windows Security và Microsoft Defender Antivirus rất hữu ích để quét mối đe dọa phổ biến, nhưng keylogger nhẹ hoặc công cụ quản trị từ xa hợp pháp bị lạm dụng đôi khi cần kiểm tra thêm Process Explorer, Startup Apps và Browser Extensions.
TeamViewer và AnyDesk có phải phần mềm gián điệp không?
Bản thân chúng không phải spyware. Đây là công cụ truy cập từ xa hợp pháp, nhưng nếu được cài mà chủ máy không biết hoặc vẫn giữ quyền truy cập sau khi hỗ trợ xong, chúng có thể bị dùng như một công cụ theo dõi.
Event Viewer thấy 4624 hoặc 4672 thì có chắc bị xâm nhập không?
Không chắc. 4624 là đăng nhập thành công, 4672 là phiên có quyền đặc biệt. Giá trị của hai log này nằm ở việc bạn đối chiếu với giờ sử dụng, tài khoản, thiết bị và mục đích thật tế.
Nên đổi mật khẩu lúc nào nếu nghi máy bị theo dõi?
Hãy đổi ngay sau khi ngắt máy khỏi mạng hoặc dùng một thiết bị khác sạch. Đổi mật khẩu ngay trên máy nghi nhiễm có thể khiến thông tin mới vẫn bị thu thập nếu keylogger hoặc phiên điều khiển từ xa còn hoạt động.
Muốn biết cách kiểm tra máy tính có bị theo dõi không một cách đáng tin, bạn cần nhìn cả log đăng nhập, tiến trình, quyền camera, phần mềm remote và dấu vết file gần đây trong cùng một lần rà soát; làm đúng thứ tự sẽ giúp phân biệt lỗi vận hành thông thường với rủi ro xâm nhập thật sự.
