Как проверить, использует ли ваш Windows-прокси

Быстрые ссылки

• Проверить системный прокси в Windows

Во время расследования вредоносного или нежелательного ПО мы заметили, что некоторые приложения устанавливают прокси-серверы, чтобы перехватывать трафик. Как понять, использует ли ваш ПК прокси?

Практически все приложения в Windows по умолчанию пользуются системным прокси, который задан в панели «Параметры Интернета» (Internet Options). Этот прокси влияет на Google Chrome, Internet Explorer и многие другие программы. Некоторые приложения, например Firefox, могут использовать свои собственные настройки прокси.

Проверка системного прокси в Windows

Если вы используете большинство версий Windows, откройте Internet Explorer (или выполните поиск «Параметры Интернета» в меню Пуск) и перейдите в «Параметры Интернета». Откройте вкладку «Подключения» и нажмите кнопку «Настройка сети» (LAN settings) внизу.

В этом диалоге видно, использует ли система прокси: если включена опция «Использовать прокси-сервер для вашей локальной сети», значит трафик направляется через прокси.

Если нажать «Дополнительно» (Advanced), вы увидите адрес и порт прокси-сервера. На примере ниже прокси — localhost с портом 49477, что выглядит подозрительно.

Проверка отдельных приложений (например, Firefox)

Некоторые программы не используют системный прокси и настраивают его самостоятельно. В Firefox откройте Параметры → Сеть → Настройки подключения и проверьте, не указан ли там свой прокси. Если приложение использует встроенный прокси, оно не отразится в системных настройках.

Как определить процесс, который слушает порт

Чтобы понять, какой процесс запустил прокси, выполните командную строку от имени администратора и запустите:

netstat -ab

Эта команда покажет, какие исполняемые файлы привязаны к портам. Команда может занять несколько секунд. Дополнительно можно использовать:

tasklist /fi "PID eq <номер_PID>"

чтобы получить имя процесса по его PID.

Важно: если вы видите в настройках прокси адрес localhost или 127.0.0.1, это часто означает, что на вашей машине запущен локальный прокси-процесс. Если вы не запускали его сознательно (например, для разработки), это подозрительно и требует проверки.

Что делать, если прокси подозрительный

1. Отключите прокси в системных настройках сразу, если это возможно.
2. Запустите netstat -ab и запомните PID/имя процесса, который слушает указанный порт.
3. Найдите исполняемый файл и путь процесса через диспетчер задач или tasklist.
4. Проверьте программу антивирусом и запустите сканирование Malwarebytes или альтернативным сканером по запросу.
5. Если процесс явно вредоносный — завершите его, удалите исполняемый файл и проверьте автозагрузку (msconfig, Диспетчер задач → Автозагрузка, планировщик задач).
6. Перезагрузите систему и снова проверьте настройки прокси.

Примечание: не отключайте системные прокси, установленные администратором в корпоративной сети — сначала проконсультируйтесь с ИТ.

Мини‑методология: быстрый план расследования (4 шага)

• Идентификация: Проверить Панель управления → Параметры Интернета → Подключения → Настройка сети.
• Подтверждение: Запустить netstat и определить процесс по PID.
• Сканирование: Полный антивирусный и анти‑малуер скан.
• Устранение: Удаление/блокировка процесса, очистка автозагрузки, восстановление настроек прокси.

Контрольный список для ролей

• Пользователь (не администратор):

  • Проверить настройки прокси в Internet Options.
  • Сообщить ИТ-поддержке при обнаружении localhost/127.0.0.1.
  • Не вводить креденшалы при запросах подозрительных приложений.

• Домашний пользователь:

  • Отключить прокси, просканировать систему антивирусом и удалить неизвестные программы.

• Сисадмин:

  • Проанализировать netstat и соответствующие исполняемые файлы.
  • Проверить политики групп (GPO) и репозиторий ПО на предмет изменений.
  • Провести инцидентное расследование при необходимости.

Критерии приёмки

• Прокси отключён или понятен его источник (официальное ПО/администратор).
• Не найдено нежелательных процессов, слушающих порты прокси.
• Система прошла антивирусное сканирование без угроз.

Краткие советы по безопасности

• В большинстве случаев локальный адрес 127.0.0.1 в прокси — красный флаг, если вы не разработчик.
• Используйте только проверённые источники программного обеспечения.
• Держите систему и антивирус в актуальном состоянии.

Фактбокс:

• 127.0.0.1 и localhost — адреса петлевой (loopback) сети, указывающие на текущую машину.
• netstat -ab показывает пары «порт ↔ процесс» на Windows.

Глоссарий (1 строка):

• Прокси — сервер, принимающий сетевые запросы от клиента и пересылающий их к целевому серверу.

Итог

Проверка системного прокси в Windows простая: панель «Параметры Интернета» → «Подключения» → «Настройка сети». Если вы обнаружили localhost/127.0.0.1 в настройках прокси и не знаете, зачем он там — действуйте осторожно: определите процесс через netstat, просканируйте систему, обратитесь к ИТ или удалите вредоносный компонент.

Важно: при сомнениях обратитесь к специалисту по безопасности или в службу поддержки вашей организации.