Kiểm tra máy tính có bị theo dõi không là quá trình rà soát đăng nhập, tiến trình, quyền camera/micro và lưu lượng mạng để phát hiện dấu hiệu phần mềm gián điệp, keylogger, Remote Access Trojan (RAT) hoặc truy cập trái phép. Cập nhật 04/2026, bài này tập trung vào Windows Security, Task Manager, Event Viewer và Wireshark để bạn tự kiểm tra trước khi mang máy đi xử lý.
Dấu hiệu nào đáng nghi trước khi mở công cụ kiểm tra?
Nếu máy chậm bất thường khi chỉ mở tác vụ nhẹ, webcam sáng đèn lúc không họp hoặc có file vừa mở mà bạn không đụng tới, đó là nhóm dấu hiệu cần kiểm tra ngay. Một dấu hiệu đơn lẻ chưa đủ kết luận, nhưng nhiều dấu hiệu xuất hiện cùng lúc thì rủi ro cao hơn.
Trong môi trường văn phòng, chúng tôi thường gặp ba tình huống dễ bị nhầm là “máy bị theo dõi”: phần mềm đồng bộ đám mây chạy nền, phần mềm họp trực tuyến tự khởi động cùng Windows, và tiện ích điều khiển từ xa do bộ phận IT cài hợp lệ. Vì vậy, bước đầu tiên không phải gỡ đại phần mềm mà là đối chiếu đúng thời điểm bất thường với tiến trình, tài khoản đăng nhập và lịch sử mở file.
Các dấu hiệu nên ghi lại theo giờ để đối chiếu:
CPU Usage tăng cao dù chỉ mở trình duyệt hoặc Word.
RAM Usage bị chiếm nhiều sau khi vừa khởi động.
Startup Programs có ứng dụng lạ, tên rút gọn hoặc không có nhà phát hành.
Recent Files xuất hiện tài liệu bạn không mở.
Webcam hoặc micro bật khi không dùng.
Mạng vẫn gửi/nhận dữ liệu khi máy đang rảnh.
Có phiên đăng nhập ngoài giờ làm việc.
Chuột, bàn phím, cửa sổ ứng dụng tự nhấp nháy hoặc chuyển tab. Vấn đề này được phân tích kỹ hơn trong cách kiểm tra máy tính có bị theo dõi không.
⚠️ Lưu ý: Máy chậm không đồng nghĩa chắc chắn có spyware. Windows Update, lập chỉ mục tìm kiếm, phần mềm sao lưu và đồng bộ OneDrive cũng có thể làm CPU, RAM hoặc ổ đĩa tăng đột biến trong thời gian ngắn.
Có thể bạn quan tâm: Dịch vụ sửa máy tính tận nhà Quận 9 uy tín, lấy liền 2026
Bảng kiểm nhanh để nhận biết máy có nguy cơ bị theo dõi
Muốn kiểm tra máy tính có bị theo dõi không theo cách thực dụng, hãy xem bảng dưới đây trước. Đây là bảng tra nhanh để bạn biết công cụ nào nên mở trước, dấu hiệu nào chỉ là nghi ngờ và dấu hiệu nào cần xử lý ngay.
| Dấu hiệu cần kiểm tra | Công cụ nên mở | Mốc cần chú ý | Mức độ nghi ngờ | Việc nên làm ngay |
|---|---|---|---|---|
| CPU Usage cao khi không chạy việc nặng | Task Manager | > 80% kéo dài 10–15 phút | Trung bình | Xem process nào chiếm CPU, mở file location |
| RAM Usage cao ngay sau khởi động | Task Manager / Resource Monitor | > 70% khi chưa mở ứng dụng chính | Trung bình | Kiểm tra Startup Programs |
| Tài liệu lạ xuất hiện trong Recent Files | File Explorer | 1–3 file lạ trong ngày | Cao | Đối chiếu giờ mở file với lịch sử đăng nhập |
| Có logon bất thường | Event Viewer / Windows Security Log | Event ID 4624, 4672 ngoài giờ dùng máy | Cao | Kiểm tra Last Logon Time, loại đăng nhập |
| Webcam bật không chủ đích | webcam/microphone permissions | Đèn webcam sáng hoặc app vừa truy cập | Cao | Tắt quyền camera, kiểm tra app truy cập gần nhất |
| Micro bị chiếm quyền | webcam/microphone permissions | Ứng dụng desktop lạ có quyền | Cao | Thu hồi quyền, gỡ app nếu không rõ nguồn |
| Tiến trình không rõ tên, không chữ ký | Process Explorer | Không có Verified Signer | Cao | Cô lập mạng, quét Defender Offline |
| Kết nối ra ngoài liên tục | Wireshark | Gửi dữ liệu đều dù máy rảnh | Cao | Xem đích IP/domain, chặn bằng Firewall |
| Thiết bị lạ trong hệ thống | Device Manager | Camera, mic, USB ẩn hoặc driver lạ | Trung bình | Gỡ driver/thiết bị không rõ nguồn |
| Ứng dụng tự chạy cùng Windows | Startup Programs | 1 mục lạ trở lên | Trung bình | Disable, khởi động lại và theo dõi lại |
Task Manager là công cụ hệ thống theo dõi hiệu năng và quản lý ứng dụng khởi động; Windows Security tích hợp Microsoft Defender Antivirus và Windows Firewall để bảo vệ thiết bị theo thời gian thực. Microsoft cũng cho biết Microsoft Defender Offline Scan sẽ khởi động lại máy và quét ngoài môi trường Windows để malware bám sâu khó ẩn hơn, còn Windows Firewall dùng để lọc lưu lượng mạng và chặn truy cập trái phép.
Đây cũng là điểm khác biệt giữa kiểm tra cơ bản và kiểm tra có chiều sâu. Task Manager phù hợp để nhìn nhanh CPU Usage, RAM Usage và Startup Programs. Khi cần nhìn cây tiến trình, chữ ký số, DLL và handle mở bất thường, Process Explorer mạnh hơn Task Manager. Nếu bạn nghi máy âm thầm gửi dữ liệu ra ngoài, Wireshark lại có lợi thế vì bắt và lọc lưu lượng gói tin theo thời gian thực. Process Explorer được Microsoft mô tả là công cụ hiển thị process, handle và DLL đang mở; Wireshark hỗ trợ live capture và có cả capture filter lẫn display filter để lọc gói tin khi xem. Bạn có thể xem thêm hướng dẫn cách kiểm tra đời máy tính.
Chủ đề liên quan: Thay Bàn Phím Máy Tính Dell Chính Hãng Và Uy Tín
Kiểm tra đăng nhập lạ và lịch sử mở file như thế nào?
Muốn biết có ai đã dùng máy khi bạn vắng mặt hay không, hãy đối chiếu Recent Files, Event Viewer, Windows Security Log và Last Logon Time. Đây là nhóm kiểm tra cho kết quả thực tế nhất vì nó bám vào dấu vết sử dụng, không chỉ vào cảm giác “máy chạy khác thường”.
Bắt đầu bằng Recent Files trong File Explorer. Nếu có báo giá, hợp đồng, file Excel hoặc thư mục kế toán vừa mở trong lúc bạn không làm việc, đó là tín hiệu phải kiểm tra tiếp. Cách này đặc biệt hữu ích với máy dùng chung trong văn phòng nhỏ vì người dùng thường nhớ khá rõ những file mình đã mở trong ngày.
Tiếp theo, mở Event Viewer rồi vào Windows Logs > Security để xem Windows Security Log. Trong tài liệu kỹ thuật của Microsoft, Event ID 4624 là đăng nhập thành công, còn Event ID 4672 là phiên đăng nhập mới được gán quyền đặc biệt. Hai ID này không tự động đồng nghĩa với xâm nhập, nhưng nếu xuất hiện vào 1–3 giờ sáng hoặc ngoài khung làm việc của bạn thì cần đối chiếu tiếp với tài khoản, máy trạm và kiểu logon.
Nên đọc Event ID nào trước?
Nếu bạn chỉ có 5 phút để rà nhanh, hãy xem theo thứ tự này:
Trong thực tế sửa máy cho văn phòng, chúng tôi từng gặp trường hợp kế toán tưởng bị cài keylogger vì file Excel “tự mở” lúc nửa đêm. Đối chiếu Event Viewer mới thấy đó là phiên đăng nhập từ phần mềm sao lưu nội bộ chạy bằng tài khoản dịch vụ, còn file thay đổi do tác vụ backup kiểm tra quyền truy cập. Nếu chỉ nhìn mỗi Recent Files thì rất dễ kết luận sai.
Sau đoạn đối chiếu log, bạn nên nhìn thêm Last Logon Time của tài khoản nếu máy thuộc domain hoặc có quản trị tập trung. Thuộc tính lastLogonTimestamp trong môi trường Active Directory là mốc đăng nhập gần nhất của tài khoản, nhưng Microsoft lưu ý đây là giá trị đồng bộ theo chu kỳ, không phải lúc nào cũng là thời gian tức thì theo từng máy trạm. Vì vậy, Last Logon Time phù hợp để phát hiện bất thường ở mức quản trị, còn kiểm tra tại chỗ vẫn nên ưu tiên Event Viewer trên chính máy đang nghi ngờ.
Video minh họa cách xem lịch sử đăng nhập và sử dụng máy tính trên Windows để đối chiếu thời điểm truy cập bất thường. Bạn cũng nên xem các thiết bị nhập xuất của máy tính nếu gặp tình huống này.
Đọc thêm: Top 10 địa chỉ sửa máy tính uy tín tại Hải Phòng năm 2026
Task Manager, Resource Monitor và Startup Programs cho bạn biết gì?
Nếu máy bị theo dõi bằng spyware, keylogger hoặc RAT, rất nhiều trường hợp sẽ để lại dấu vết ở process chạy nền, tài nguyên bị chiếm và ứng dụng tự khởi động cùng Windows. Đây là nhóm kiểm tra nhanh nhất mà người dùng phổ thông có thể tự làm.
Mở Task Manager bằng `Ctrl + Shift + Esc`, chuyển sang tab Processes rồi sắp xếp theo CPU, Memory và Network. Nếu CPU Usage luôn cao dù bạn chỉ mở vài ứng dụng nhẹ, hoặc RAM Usage gần đầy ngay sau khi khởi động, hãy ghi tên tiến trình đang chiếm tài nguyên rồi kiểm tra đường dẫn file.
Sau đó mở tab Startup để rà Startup Programs. Ứng dụng hợp lệ thường có tên rõ ràng, nhà phát hành rõ và đường dẫn cài đặt hợp lý. Ứng dụng đáng nghi thường có một trong các đặc điểm sau: tên ngẫu nhiên, không có publisher, biểu tượng trắng trơn, đường dẫn nằm sâu trong `AppData`, hoặc mô tả không khớp chức năng.
Nếu bạn cần nhìn kỹ hơn Task Manager, dùng Resource Monitor và Process Explorer. Process Explorer của Microsoft cho phép xem cây tiến trình cha–con, tài khoản sở hữu tiến trình, file đang mở và chữ ký số. Đây là chỗ rất hiệu quả để bóc tách một RAT giả dạng tên gần giống tiến trình Windows. Ví dụ, `svchost.exe` nằm sai thư mục hoặc không có chữ ký số hợp lệ là dấu hiệu cần cách ly máy ngay.
Trong thực tế, chúng tôi từng xử lý một laptop bán hàng bị cài phần mềm điều khiển từ xa trá hình. Task Manager chỉ cho thấy CPU tăng nhẹ, nhưng Process Explorer lộ ra tiến trình con mở từ thư mục tạm trong hồ sơ người dùng, không có Verified Signer và tự tạo kết nối ra ngoài sau mỗi lần đăng nhập. Nếu chỉ nhìn mức CPU thì ca này rất dễ bị bỏ sót.
Bài viết liên quan: Máy Tính Xách Tay Dell Latitude 3540: Có Phải Mẫu 15.6 Inch Đáng Mua Cho Văn Phòng 2026?
Windows Security, Defender Offline Scan và Firewall nên dùng ra sao?
Khi nghi máy bị theo dõi, đừng vội cài thêm ba bốn phần mềm diệt virus. Trên Windows 10/11, bạn nên quét ngay bằng Windows Security, chạy Windows Defender, sau đó cân nhắc Microsoft Defender Offline Scan nếu nghi malware bám sâu hoặc tự ẩn khi Windows đang hoạt động.
Theo Microsoft, bạn có thể vào Windows Security > Virus & threat protection > Scan options để chọn Microsoft Defender Offline scan. Kiểu quét này sẽ khởi động lại máy và chạy trong môi trường phục hồi, giúp malware dai dẳng khó tự che giấu hơn so với lúc Windows đang chạy bình thường.
Quy trình nên làm theo thứ tự:
Song song với quét virus, hãy mở Firewall & network protection để kiểm tra Firewall có đang bật cho mạng Private và Public hay không. Microsoft mô tả Windows Firewall là lớp lọc lưu lượng vào/ra để chặn truy cập trái phép, vì vậy việc tắt firewall quá lâu sẽ làm giảm đáng kể khả năng chặn kết nối lạ từ bên ngoài.
Camera, micro, Device Manager và lưu lượng mạng có lộ gì không?
Nếu mục tiêu theo dõi là nghe lén hoặc quan sát từ xa, bạn phải kiểm tra cả quyền webcam/microphone permissions, Device Manager và lưu lượng mạng. Đây là phần nhiều người bỏ qua nhưng lại rất sát với hành vi thật của phần mềm gián điệp.
Microsoft cho phép xem và điều chỉnh quyền camera, micro theo đường dẫn Settings > Privacy & security > Camera/Microphone. Bạn nên kiểm tra ba lớp: quyền tổng của thiết bị, quyền cho app Microsoft Store và quyền cho desktop apps. Nếu thấy một ứng dụng lạ được cấp quyền camera hoặc micro, hãy tắt quyền trước rồi mới tính đến chuyện gỡ ứng dụng.
Tiếp theo, mở Device Manager để xem thiết bị camera, micro, card mạng hoặc USB có xuất hiện driver lạ không. Device Manager hiển thị loại thiết bị, trạng thái, nhà sản xuất và thông tin driver; nếu bạn gặp webcam ảo, audio device lạ hoặc driver vừa được cài mà không rõ lý do, đây là manh mối đáng giữ lại trước khi dọn máy.
Khi nghi có dữ liệu bị gửi ra ngoài, Wireshark hữu ích hơn hẳn cảm giác “đèn mạng nhấp nháy”. Hãy bắt lưu lượng khi máy ở trạng thái rảnh rồi lọc các kết nối lặp lại tới cùng một đích. Bạn không cần đọc sâu toàn bộ gói tin; chỉ cần xác định xem máy có đang duy trì kết nối bất thường tới IP hoặc domain không quen thuộc hay không. Wireshark có khả năng live capture trên nhiều loại giao tiếp mạng và hỗ trợ display filter để bóc tách gói nghi ngờ nhanh hơn.
Khi nào nên nghi keylogger, spyware hoặc RAT thay vì lỗi thường?
Không phải mọi dấu hiệu lạ đều là theo dõi. Điểm quan trọng là nhận diện đúng kiểu rủi ro: spyware thường thu thập hành vi và dữ liệu; keylogger tập trung vào bàn phím, mật khẩu và biểu mẫu; còn RAT cho phép điều khiển máy từ xa, mở camera, chạy lệnh hoặc chuyển file.
Bạn có thể phân biệt theo biểu hiện thực tế:
| Tiêu chí | Spyware | Keylogger | RAT |
|---|---|---|---|
| Dữ liệu nhắm tới | Hành vi, cookie, lịch sử dùng máy | Phím gõ, thông tin đăng nhập | Toàn quyền điều khiển, file, camera |
| Dấu hiệu thường gặp | Trình duyệt lạ, quảng cáo, tiến trình nền | Mật khẩu bị lộ, biểu mẫu tự lỗi | Webcam bật, chuột nhảy, kết nối từ xa |
| Công cụ phát hiện đầu tiên | Windows Security, trình duyệt, Task Manager | Defender, Process Explorer | Event Viewer, Process Explorer, Wireshark |
| Mức độ nguy hiểm | Trung bình đến cao | Cao | Rất cao |
| Hành động ưu tiên | Quét và gỡ tiện ích/app lạ | Đổi mật khẩu ngay | Ngắt mạng, sao lưu tối thiểu, quét offline |
Một heading rất đáng kiểm tra riêng là “máy có đang bị quản trị hợp lệ hay bị chiếm quyền trái phép”. Ở công ty, công cụ hỗ trợ từ xa, agent quản lý thiết bị, VPN hoặc phần mềm giám sát tài sản IT có thể hợp pháp. Dấu hiệu phân biệt không nằm ở việc “có process lạ” mà ở chỗ: phần mềm đó có được thông báo trước không, có nhà phát hành rõ không, có chính sách nội bộ hay hợp đồng lao động đề cập không, và có chạy đúng giờ hỗ trợ kỹ thuật hay không. Nếu câu trả lời là không, bạn có cơ sở để nâng mức cảnh giác.
Câu Hỏi Thường Gặp
Máy tính chậm có phải chắc chắn bị theo dõi không?
Không. Máy chậm có thể do Windows Update, ổ cứng lỗi, RAM thiếu, phần mềm đồng bộ hoặc trình duyệt quá nhiều tab. Bạn chỉ nên nghi bị theo dõi khi máy chậm đi kèm logon lạ, process không rõ nguồn, quyền camera/micro bất thường hoặc kết nối mạng đáng ngờ.
Event ID 4672 có phải là hacker đăng nhập không?
Không hẳn. 4672 là phiên đăng nhập mới có quyền đặc biệt, nên có thể xuất hiện hợp lệ với tài khoản quản trị hoặc dịch vụ hệ thống. Điều đáng ngờ là thời gian xuất hiện, tài khoản dùng và việc nó có đi cùng Recent Files hoặc 4624 bất thường hay không.
Có nên cài thêm phần mềm diệt virus khác ngay không?
Chưa cần vội. Hãy dùng Windows Security và Microsoft Defender Offline Scan trước, vì đây là công cụ sẵn có, ít xung đột và đủ tốt cho bước rà soát ban đầu trên Windows 10/11. Nếu phát hiện malware dai dẳng hoặc máy đã có dữ liệu nhạy cảm bị ảnh hưởng, khi đó mới cân nhắc quy trình xử lý sâu hơn.
Kiểm tra webcam/micro bằng đèn báo đã đủ chưa?
Chưa đủ. Đèn webcam chỉ giúp phát hiện một phần. Bạn vẫn nên vào phần quyền riêng tư để xem app nào được phép dùng camera và micro, vì desktop apps có thể xuất hiện khác với app Microsoft Store trong danh sách quyền.
Sau khi phát hiện dấu hiệu lạ, việc đầu tiên nên làm là gì?
Hãy ngắt mạng nếu nghi RAT hoặc có truyền dữ liệu ra ngoài, chụp ảnh màn hình process/log bất thường, chạy quét bằng Windows Security rồi đổi mật khẩu các tài khoản quan trọng trên một thiết bị khác sạch hơn. Cách này giảm rủi ro làm mất dấu vết và hạn chế tiếp tục rò rỉ dữ liệu.
Kiểm tra máy tính có bị theo dõi không hiệu quả nhất khi bạn đối chiếu cả log đăng nhập, Recent Files, process nền, quyền camera/micro và lưu lượng mạng. Nếu đã thấy nhiều dấu hiệu trùng nhau, đừng chỉ dọn phần mềm lạ; hãy quét offline và đổi toàn bộ mật khẩu quan trọng ngay sau đó.
