Cách kiểm tra máy tính có bị keylog không

Keylogger là một loại phần mềm gián điệp cho phép ghi lại toàn bộ lịch sử khi bạn gõ phím. Một khi keylogger đã cài vào máy thì bạn mọi dữ liệu bạn nhập từ bàn phím như tài khoản các trang web, tài khoản và mật khẩu thẻ ngân hàng… đều bị hacker ghi lại.

Bài viết dưới đây, Thuthuattinhoc.vn sẽ hướng dẫn các bạn kiểm tra trên máy tính có keylogger hay không và cách gỡ bỏ tận gốc. Mời các bạn đón xem bài viết dưới đây nhé!

1. Cách kiểm tra keylogger trên máy tính

Kiểm tra các tiến trình chạy ngầm khả nghi bằng Task Mananger.

Bước 1: Các bạn click chuột phải vào thanh Taskbar chọn Start Task Manager hoặc bấm tổ hợp phím Ctrl + Alt + Delete.

Bước 2: Các bạn kiểm tra trong mục Process có các tiến trình lạ nào chạy ngầm như hình bên dưới không. Để nguỵ trang, các nhà phát triển keylogger thường đặt tên cho keylog của mình với những cái tên giống với các tiến trình hệ thống như system.exe, winlogon.exe…Nếu nghi ngờ file đó là file virus không phải file hệ thống thì các bạn hãy thử End Process và chờ xem máy bạn có dấu hiệu bất thường nào không. Nếu là file hệ thống khi End Process sẽ có thông báo lỗi còn file virus thì không.

2. Cách gỡ bỏ tận gốc keylogger

Để gỡ bỏ tận gốc keylogger không khó lắm. Chúng ta có thể dùng một số công cụ nhỏ gọn tiện ích dưới đây để diệt keylogger một cách triệt để.

Kaspersky Security Scan

Các bạn có thể tải về Kaspersky Security Scan tại đây.

//www.kaspersky.com/free-virus-scan

Đây là phần mềm miễn phí đến từ hãng bảo mật hàng đầu thế giới Kaspersky Lab. Kaspersky Security Scan có tính năng quét và diệt các mối nguy hại cho máy tính như Malware hay Keylogger một cách triệt để. Do phần mềm chỉ tích hợp các tính năng tìm và diệt Rootkit, keylogger nên phần mềm hoạt động khá nhẹ và không tiêu tốn nhiều tài nguyên máy tính.

Zemana Anti keylogger

Các bạn có thể tải về Zemana Anti keylogger tại đây.

//www.zemana.com/antilogge

Đây là phần mềm chuyên dụng để diệt và phòng chống keylogger một cách triệt để. Ngoài khả năng quét và diệt các keylogger thì phần mềm này còn có các tính năng nâng cao để bảo vệ người dùng như Anti-ScreenLogger, Anti-WebcamLogger, Anti-ClipboardLogger.

Keylogger nói riêng và virus máy tính nói chung đều là các mối nguy hàng đầu của người dùng khi sử dụng máy tính. Nếu máy tính của bạn thường sử dụng để lưu những dữ liệu cá nhân bí mật thì các bạn hãy trang bị cho máy tính của bạn những phần mềm diệt virus chất lượng đến từ các hãng bảo mật danh tiếng như Kaspersky, Bitdefender, Norton… Ngoài ra, các bạn nên tạo thói quen thường xuyên đổi mật khẩu các tài khoản cá nhân như tài khoản mạng xã hội, tài khoản ngân hàng… cùng với ký tự đặc biệt để bảo vệ tài khoản tốt hơn. Chúc các bạn thành công!

Keylog là phần mềm thuộc vào nhóm các phần mềm gián điệp khá nguy hiểm. Phần mềm này được viết ra với mục đích ghi lại mọi thao tác được thực hiện trên bàn phím và ghi lại màn hình máy tính của bạn. Chính vì vậy mà phần mềm này có thể đánh cắp thông tin quan trọng của bạn, đặc biệt là các tài khoản mật khẩu có giá trị. Và để đảm bảo an toàn cho máy tính của mình, các bạn nên tiến hành kiểm tra xem máy tính có bị dính virus Keylog để có biện pháp đối phó kịp thời tránh tổn thất. Bài viết này ThuThuat123.com sẽ hướng dẫn các bạn cách kiểm tra Keylog trên máy tính không cần phần mềm bên thứ 3. Mời các bạn cùng theo dõi.

CÁCH KIỂM TRA MÁY TÍNH CÓ DÍNH VIRUS KEYLOGGER HAY KHÔNG

Có thể các bạn chưa biết, các phần mềm Keylog đều sử dụng một tâp tin có dạng .dll để ghi lại thao tác trên máy tính. Vì vậy chúng ta chỉ cần kiểm tra xem máy tính có chứa những tập tin này không là biết máy tính có nhiễm Keylog hay không.

Có 2 loại Keylog được sử dụng phổ biến đó là Perfect keylogger sử dụng tập tin bpkhk.dll và Easy keylogger sử dụng tập ekey.dll. Chúng ta sẽ lần lượt kiểm tra 2 keylog này.

1. Kiểm tra Perfect keylogger

Bước 1: Nhấn tổ hợp Windows+R để mở hộp thoại Run, trong hộp thoại Run các bạn nhập cmd và nhấn OK để mở cửa sổ Command Prompt.

Bước 2: Trong cửa sổ cmd các bạn nhập lệnh tasklist /m bpkhk.dll và nhấn Enter.

Sau khi nhấn Enter nếu kết quả hiển thị như hình trên thì máy tính của bạn không bị nhiễm Perfect keylogger.

Nếu có keylogger thì màn hình sẽ hiển thị:

Image Name PID Modules;

explorer*************** 468 bpkhk.dll

DUMeter*************** 1444 bpkhk.dll

ctfmon*************** 1548 bpkhk.dll

acrotray*************** 1820 bpkhk.dll

notepad*************** 1956 bpkhk.dll

firefox*************** 2012 bpkhk.dll

bdmcon*************** 1744 bpkhk.dll

TOTALCMD*************** 2396 bpkhk.dll

bpk*************** 2812 bpkhk.dll ß đây chính là Perfect keylogger.

2. Kiểm tra Easy keylogger

Đối với Easy keylogger các bạn cũng mở cmd như bước 1 sau đó nhập dòng lệnh tasklist /m Ekey.dll và nhấn Enter.

Nếu kết quả cũng hiển thị như trên hình thì máy tính của bạn không bị nhiễm Easy keylogger.

Còn nếu máy tính bị nhiễm Easy keylogger sẽ hiện như sau:

Image Name ------PID – Modules

TOTALCMD*************** ----- 2040 ----- ekey.dll

Easy Keylogger*************** -- 2340 ----- ekey.dll ß đây chính là Easy keylogger

Trên đây  là bài hướng dẫn kiểm tra Keyloger trên máy tính chỉ với vài bước đơn giản, hy vọng bài viết hữu ích với các bạn. Chúc các bạn thành công!

Để kiểm tra máy có dính keylog  các cách bạn Có thể dùng cách này để kiểm tra trong PC mình có nhiễm con key nào không? Đây là 1 số con key quen thuộc. Đây là perfect keylogger và easy keylogger.

Mỗi chương trình Keylogger đều sử dụng 1 tập tin .dll để capture thao tác máy tính, con Perfect Keylogger này thì sử dụng tập tin bpkhk.dll , còn con Easy sử dụng Ekey.dll. Như vậy chúng ta sẽ kiểm tra trong máy có xuất hiện những tệp tin này không? => có key [ đơn giản thế thôi ]

+Với Perfect keylogger:

• 1. Vào mục Start => Run gõ : cmd
• 2. Ở màn hình Dos gõ : tasklist /m bpkhk.dll

Nếu không có Keylogger bạn sẽ nhận được 1 thông báo lỗi : INFO: No tasks running with the specified criteria.

Nếu có Keylogger màn hình sẽ hiển thị :

Image Name PID Modules Diễn giải =====================================

explorer*************** 468 bpkhk.dll DUMeter*************** 1444 bpkhk.dll ctfmon*************** 1548 bpkhk.dll acrotray*************** 1820 bpkhk.dll notepad*************** 1956 bpkhk.dll firefox*************** 2012 bpkhk.dll bdmcon*************** 1744 bpkhk.dll TOTALCMD*************** 2396 bpkhk.dll bpk*************** 2812 bpkhk.dll

+Với Easy Key:

• 1. Vào mục Start => Run gõ : cmd
• 2. Ở màn hình Dos gõ : tasklist /m Ekey.dll

Nếu không có Keylogger bạn sẽ nhận được 1 thông báo lỗi : INFO: No tasks running with the specified criteria. Nếu có Keylogger màn hình sẽ hiển thị : Image Name -------- PID -- Modules ----- Diễn giải =================================

TOTALCMD*************** ----- 2040 ----- ekey.dll Easy Keylogger*************** -- 2340 ----- ekey.dll Mình nói thêm về cách diệt :

+Với Perfect Key

• 1. Vào mục Start => Run gõ : cmd
• 2. Ở màn hình Dos gõ : taskkill /f /im bpk*************** /t
• 3. Tắt tất cả các chương trình đang chạy hiện thời [Explorer***************, bdswitch***************, DUMeter*************** ...]
• 4. Mở Explorer vào thư mục WindowsSystem32 xóa các tập tin bpk***************, bpkhk.dll, bpkwb.dll ...

+Với Easy Key

• 1. Vào mục Start => Run gõ : cmd
• 2. Ở màn hình Dos gõ : taskkill /f /fi "pid ge 2340" /im *

Đã xong !!!

Lưu ý mộtchút đó là BPK có cho phép đổi tên các file bpk***************, các file .dll... nên khi các bạn không thấy file bpk*************** và bpk*.dll thì vẫn chưa thể yên tâm là trong máy không có BPK.

• 4. Tắt các chức năng Services trong System Tools: Bạn nên tắt các chức năng khả nghi nào đó có thể bị nhiễm Virus hay Spyware, để tắt nó thì bạn vào Control Panel / Administrative Tools / Services thực hiện. Bạn nên chuyển các xác lập Services từ Automatic thành Manual.

• 5. Xóa bỏ các phần trong HKEY_LOCAL_MACHINE và HKEY_CURRENT_USER: Bạn nên xóa bỏ tất cả những gì trong hai mục này ở các mục là: SOFTWARE/ MICROSOFT/ WINDOWS/ CurrentVersion/ Run, RunOnce, RunOnceEx, RunServices.

• 6. Kiểm tra các file ẩn trong thực mục C:/WINDOWS/SYSTEM 32: Bạn vào thư mục này để kiểm tra xem có các file lạ nào không? Bạn chỉ cần kiểm tra ngày, tháng, tên công ty, ngày tạo… là có thể phát hiện được chúng. Nếu như bạn phát hiện ra một file lạ nào đó thì bạn tạo một thư mục mới trong phần SYSTEM 32 này và chuyển tất cả chúng vào thư mục này. Bạn nên lưu ý một số file có dạng đuôi nguy hiểm là: .exe, .FTP, .XML, TFPT####... và các file không có đuôi.

• 7. Nên xóa bỏ tất cả những gì trong thư mục C:/WINDOW/ PREFETCH và Emty Recycle Bin.

• 8. Bạn nên vào Registry để Search Virus hay Spyware [Edit/ Find]. Bạn có thể tìm kiếm chúng theo từ khóa của tên Virus, hay các các dấu hiệu của chúng, ví dụ như là: 180 Solutions, Twaintec…..Khi gặp chúng thì bạn nên xóa chúng ngay.

Một cách khác:

Đối với các loại file hình ảnh như .jpg,.bmp,.png.....và các loại file nhạc audio [.mp3,.wma,.wav,.aac....] file video[.mpg,.avi,.wmv,.asf,.rmv b.....] thì không bao giờ bị nhiễm virus

Các loại file có thể nhiễm virus như :.dat,.com,.exe,.bat,.pif,.msi ....thì ta đặt thuộc tính cho chúng là Read-only[ chỉ đọc] và Archive[ chứa đựng], còn các loại tài liệu văn bản như .doc,.txt,.rtf,.xls... nếu đặt read-only thì khi muốn chỉnh sửa sẽ rất bất tiện, ta nên sao lưu chúng thành 2 bản.

Vấn nạn virus hiện vẫn đang là mối quan tâm lớn của người dùng máy tính do số lượng và "sức chiến đấu" của các loại virus ngày càng tăng. Hiện nay đang nổi lên một dạng virus hay nói đúng hơn là một loại sâu máy tính [worm] làm đau đầu người dùng máy tính tại Việt Nam.

Các sâu máy tính này thường có nhiệm vụ "gây rối" máy tính, làm cho máy tính hoạt động không bình thường, tốc độ xử lý chậm đi nhiều, một số chức năng của hệ điều hành không hoạt động được nữa như Task manager, Regedit, msconfig, xem các file ẩn. Phá hoại và làm tê liệt các chương trình diệt virus. Có thể một số sâu còn làm máy tính in ra các ký tự lạ, không gõ được tiếng việt,.... Đồng thời cũng có sâu ăn cắp các thông in cá nhân trong máy tính và gửi các thông tin này tới hacker, các sâu có thể mở một số cổng [port] trên máy tính để giúp hacker thâm nhập máy tính dễ dàng. Đa số các máy tính bị nhiễm các sâu máy tính này khi copy dữ liệu từ ổ USB, từ thẻ nhớ vào ổ cứng, khi copy dữ liệu từ các ổ cứng khác trên mạng, khi chạy các file được download từ các nguồn không tin cậy trên mạng internet... Lúc này, bạn nên nghĩ tới cách diệt virus bằng tay dưới đây:

Bước 1: Kiểm tra tình trạng máy tính của mình xem thực sự có bị nhiễm virus hay sâu không ?

Bạn để ý đến tốc độ máy tính xem có chậm không, khi mà mình không chạy nhiều chương trình. Có thể xem phần trăm sử dụng CPU để biết được chính xác: ấn Ctrl + Alt + Del => Chọn Task Manager => Chọn Performance. Tuy nhiên có một số sâu máy tính lại phá hỏng mất chức năng Task Manager và làm theo bước trên, bạn chỉ nhìn thấy chữ Task Manager bị mờ đi và không chọn được. Đây là dấu hiệu máy tính của bạn bị nhiễm sâu. Hoặc bạn có thể vào Start => Chọn Run. Tại hộp hội thoại, bạn gõ chữ regedit => chọn OK => Không thấy xuất hiện cửa sổ mới nào => Đây cũng là dấu hiệu máy bạn bị nhiễm sâu. Khi đã kết luận được máy tính của mình bị nhiễm con virus hoặc sâu nào đó, bạn thực hiện tiếp bước 2.

Bước 2: Khởi động lại máy tính [restart] và chạy Windows ở chế độ Safe Mode.

Để chạy Windows Xp ở chế độ Safe Mode, khi máy tính mới khởi động lại [lúc màn hình bắt đầu hiển thị các thông số về máy tính như ở cứng, bộ nhớ RAM,...], bạn ấn liên tục phím F8, sau đó màn hình sẽ hiện ra các lựa chọn chế độ khởi động, bạn dùng phím mũi tên để lựa chọn chế độ Safe Mode. Khi bạn khởi động tại chế độ Safe Mode này, Windows sẽ chỉ chạy các ứng dụng cần thiết của hệ điều hành mà không chạy các ứng dụng cài thêm có trong thư mục Startup, có trong chế độ chạy khi khởi động của registry. Mà đây là 2 con đường để virus và sâu được kích hoạt. Như vậy, chạy chế độ Safe Mode để máy tính của bạn không kích hoạt virus và sâu chạy. Sau khi đăng nhập vào máy tính của bạn một cách thông thường ở chế độ Safe ode, bạn tiếp tục thực hiện bước 3.

Bước 3: Hủy bỏ các chương trình chứa sâu và virus được tự động chạy khi khởi động máy tính

Hủy bỏ trong thư mục Startup: Bạn vào Start => Programs => Startup => Trỏ phải chuột vào thư mục Startup và chọn Open. Tại cửa sổ mới này, bạn kiểm tra vào nếu thấy chương trình phần mềm nào khả nghi, lạ, bạn chưa sử dụng bao giờ, bạn xóa nó đi hoặc cut và paste sang một chỗ khác để không cho nó tự động chạy khi khởi động máy tính. Hủy bỏ trong registry: Bạn vào Start => Run => Tại hộp hội thoại gõ msconfig. Cửa sổ System Configuration Utility hiện ra và bạn chọn thẻ Startup. Tại đây, bạn cũng kiểm tra xem có các ứng dụng nào lạ, nghi ngờ là virus thì bạn bỏ nút check tại cột Startup Item để chúng không được chạy khi khởi động máy tính. Bạn nên đặc biệt quan tâm tới tên ứng dụng tại cột Startup Item và đường dẫn của ứng dụng tại cột Command để xác định xem đó có phải là virus hoặc sâu máy tính không. Sau khi bỏ các chương trình nghi nhiễm virus xong, bạn chọn OK. Chú ý đừng chọn khởi động lại máy tính ngay vì bạn còn phải thực hiện tiếp bước 4.

Bước 4: Xóa các file nghi nhiễm virus

ở bước 3, bạn đã có thể biết file nào nghi bị nhiễm virus và nó đang nằm ở đâu. Lúc này bạn nên tìm tới thư mục đó và Cut sau đó Paste file đó sang một thư mục tạm thời nào đó tại ổ C để lưu, phòng trường hợp sự nghi ngờ của mình là sai thì có thể khôi phục lại được. Đồng thời có thể còn một số file bị nhiễm virus khác mà bạn có thể thấy khi quan sát trong Task Manager ở bước 1. Bây giờ bạn hãy dùng chức năng Search của Windows để tìm ra file đó và cũng Cut, Paste sang một thư mục tạm tại ổ C. Một số file đuôi là exe với tên rất lạ nằm thư mục gốc ổ C, D thường là các file bị nhiễm virus. Hoặc các file autorun.ini, autorun.inf nằm tại thư mục gốc hoặc các thư mục khác [ngoại trừ thư mục copy dữ liệu từ đĩa CD] cũng là các file rất có thể bị nhiễm virus. Bạn chỉ cần kích hoạt các file này là máy bị nhiễm virus ngay lập tức. Bước 5: Khởi động lại máy tính và chạy ở chế độ bình thường

Lúc này, nếu các nghi ngờ và thao tác tại các bước trên của bạn đúng. Máy tính của bạn sẽ "trong sạch" và hoạt động tốt. Tuy nhiên nếu các chức năng như Task manager, msconfig, regedit, Folder Options vẫn bị mờ hoặc không hoạt động được thì bạn nên vào website dưới đây để download các công cụ hoặc đọc hướng dẫn để khôi phục chúng:www.dougknox.com.

Lưu ý:

Do việc xác định các file bị lây nhiễm virus là quan sát của cá nhân bạn nên có thể có sự nhầm lẫn giữa file bị lây nhiễm virus và file bình thường. Vì vậy, bạn nên sao lưu các file nghi nhiễm virus ra trước khi xóa nó để có thể khôi phục khi cần thiết. Đồng thời bạn chỉ nên làm theo các bước trên sau khi bạn đã diệt virus bằng các chương trình diệt virus mới nhất mà vẫn không hiệu quả.

Việc dò tìm được keylog trong máy hay không còn tùy thuộc vào nhiều yếu tố khách quan và chủ quan, nếu muốn phòng xa tốt nhất nên cài chương trình mã hóa bàn phím để người theo dõi máy tính của bạn không thể biết bạn đang đánh chữ gì.