Kiểm tra máy tính

(Intro – Implicit, explains why to check for malware even with antivirus)

1. Kiểm tra theo triệu chứng

   • Máy tính chạy chậm bất thường.
   • Máy tính hoạt động nóng hơn bình thường (Laptop).
   • Một số tính năng của Windows không hoạt động: Task Manager; Hidden items; Windows firewall; Windows Defender…
   • Không cài hoặc gỡ được chương trình.
   • Bàn phím, chuột, webcam hoạt động bất thường.

2. Kiểm tra khi máy tính vẫn có thể khởi động vào Windows.

   • Kiểm tra phần mềm cài đặt trong Control Panel.
     • Vào RUN (Windows + R) gõ: appwiz.cpl
     • appwiz
     • Kiểm tra các phần mềm đã được cài đặt, có phần mềm / chương trình nào lạ hay không, nếu phát hiện ra phần mềm / chương trình lạ, bạn có thể thử gỡ nó ra khỏi Windows, tuy nhiên cần lưu ý chính xác, nếu không có thể gỡ nhầm ứng dụng đang dùng.
     • pc check 1
     • Hình trên: Một số phần mềm có thể cài đặt dưới thông tin giả mạo với tên của những phần mềm thông thường khác, do đó cần xác minh kỹ lưỡng các phần mềm này.
   • Kiểm tra tiến trình khởi động cùng Windows.
     • Bấm tổ hợp phím: Ctrl + Alt + Del -> chọn Task Manager
     • Sau đó chuyển sang thẻ Startup để xem các tiến trình khởi động cùng Windows, và xem có tiến trình nào lạ hay không.
     • pc check 2
     • Nếu thấy tiến trình lạ, có thể “disable” nó trong cột Status. Hoặc xóa bỏ nó trong Registry.
     • Vào RUN gõ: Registry
     • Sau đó truy cập theo đường dẫn (hoặc copy vào khung đường dẫn):
       • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
     • (Image description for Registry deletion)
     • Kiểm tra tương tự như vậy với các khu vực sau:
       • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
       • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun
       • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun32
       • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerStartupApprovedStartupFolder
     • Windows có cho phép nhiều tài khoản hoạt động trên cùng một máy tính, để kiểm tra kỹ hơn và áp dụng cho toàn bộ máy tính, truy cập vào các đường dẫn sau trong Registry để kiểm tra:
       • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
     • pc check 4
     • Hình trên: Bạn sẽ thấy một số tiến trình khác với của Users, và các tiến trình này áp dụng cho toàn bộ Users trên máy tính này.
     • Kiểm tra tương tự ở các vị trí sau:
       • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
       • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun
       • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun32
       • HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder
       • AND (Nếu thêm bằng Group Policy) HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
       • AND (Nếu thêm bằng Group Policy) HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun
       • Chỉ có trên phiên bản Windows 10 64bit: HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun
       • HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRunOnce
     • Lưu ý: Registry là một khu vực quan trọng trong chỉ dẫn hoạt động của phần mềm trên Windows, do đó cần lưu ý thao tác chính xác. Bạn cũng có thể Backup Registry trước khi thao tác nhằm tránh rủi ro khi thao tác nhầm.
     • (Image description for Registry backup)
   • Kiểm tra tiến trình hoặc ứng dụng chạy theo lịch
     • Vào RUN gõ: taskschd.msc
     • pc check 6
     • Trong Task Scheduler Library sẽ hiển thị toàn bộ các tác vụ đã được lên lịch, hãy kiểm tra kỹ các tác vụ đang có trong khu vực này.
     • pc check 7
     • Những tác vụ nào chỉ dẫn đến các chương trình lạ, thì cần kiểm tra các chương trình đó có phải là mã độc hay không.
   • Kiểm tra tiến trình và mã độc.
     • Sử dụng công cụ được cung cấp bởi Microsoft, tải về từ link sau: https://docs.mi