Стефанія А. Автор Стефанія А.
Новини 5 Червня 2026 5 хв читання

Hola майнер

Редакційне зображення з попередженням про Hola Browser майнер, me.exe і hola_monitor_svc.

Компрометований шлях доставки Hola Browser для Windows міг залишити на частині ПК криптомайнер. Якщо ви нещодавно встановлювали або оновлювали Hola Browser, перевірте папку встановлення Hola на me.exe або HolaMonitorService.exe, а потім перевірте сервіс Windows hola_monitor_svc і залишки persistence.

Звіт Sophos вийшов 4 червня 2026 року. Дослідники пов’язали знахідку з перевіркою AppEsteem і власною телеметрією Sophos. Hola відповіла Sophos, що зупинила й перебудувала проблемний pipeline доставки, а також заявила, що інцидент зачепив приблизно 0,1% користувачів і не призвів до доступу чи витоку даних користувачів. Але для власника Windows-ПК головне інше: якщо майнер уже потрапив у систему, він може витрачати CPU/GPU, запускатися під час простою і додавати виключення Microsoft Defender.

Що знайшла Sophos

Sophos описала me.exe як незаявлений компонент у Hola Browser версії 1.251.91.0. Файл не мав цифрового підпису, не мав timestamp, містив обфускований код і визначався Sophos як Troj/GoMiner-B. За даними звіту, виконуваний файл містить рядки, пов’язані з XMRig-подібним майнінгом у режимі простою, а з правами адміністратора копіює себе в C:\Program Files\Hola\HolaMonitorService.exe.

ІндикаторЩо означає
C:\Program Files\Hola\me.exeНеочікуваний файл, який Sophos проаналізувала як криптомайнер.
HolaMonitorService.exeКопія майнера для закріплення через сервіс Windows.
hola_monitor_svcНазва автозапускного сервісу, наведена Sophos.
Виключення DefenderМайнер, який додає виключення, може довше уникати перевірки.
Високе CPU/GPU у простоїТипова ознака idle-криптомайнера.

Кому варто перевірити Windows

Перевірте систему, якщо нещодавно встановлювали або оновлювали Hola Browser для Windows, особливо коли комп’ютер став шумним, гарячим, повільним або показує дивну активність CPU/GPU під час простою. Також перевірка потрібна, якщо антивірус показував me.exe, HolaMonitorService.exe, GoMiner або підозрілий сервіс у папці Hola.

Це не звичайний випадок небажаного браузера. Браузерний PUA може змінювати пошук чи стартову сторінку, але майнер із сервісом Windows і виключенням Defender потребує перевірки закріплення. Схожий контекст щодо криптомайнерів є у матеріалі про Shikitega miner, а ризики підписаного або нібито довіреного шкідливого ПЗ описані в статті про Fox Tempest.

Що зробити зараз

  1. Видаліть Hola Browser у налаштуваннях Windows, якщо він вам не потрібен.
  2. У Task Manager перевірте me.exe, HolaMonitorService.exe або незрозуміле використання CPU/GPU після простою.
  3. Відкрийте Command Prompt від адміністратора і виконайте sc query hola_monitor_svc. Якщо сервіс існує, не використовуйте браузер до повного очищення.
  4. Перевірте виключення Microsoft Defender на шляхи Hola або miner-файли, яких ви самі не додавали.
  5. Запустіть повну перевірку системи. Gridinsoft Anti-Malware можна використати як другу перевірку для miner-файлів, сервісів, задач автозапуску та залишків небажаного браузера.
  6. Після очищення перезавантажте ПК і знову перевірте Task Manager, Services, виключення Defender і папку Hola. Якщо файл або сервіс повертається, це вже проблема persistence, а не просте видалення застосунку.

Видалення майнера через Gridinsoft Anti-Malware

Gridinsoft Anti-Malware доречний у цьому випадку, бо очищення не зводиться до одного файлу браузера. Повна перевірка може знайти payload майнера, залишки PUA або браузера, сервіс persistence, scheduled tasks, автозапуск та інші файли, які могли потрапити через той самий шлях доставки.

  1. Завантажте Gridinsoft Anti-Malware з офіційного сайту: https://gridinsoft.ua/antimalware.
  2. Запустіть Full Scan, а не лише швидку перевірку браузера, бо описаний payload може створювати сервіс Windows.
  3. Застосуйте Treat або Clean Now для detections, пов’язаних із me.exe, HolaMonitorService.exe, залишками папки Hola, miner-модулями або небажаними браузерними компонентами.
  4. Перезавантажте Windows і запустіть повторне сканування, щоб підтвердити, що майнер не повертається.
  5. Після очищення вручну перевірте, що hola_monitor_svc зник, а в Microsoft Defender не залишилося неочікуваного виключення для папки Hola.

Якщо Gridinsoft Anti-Malware знову знаходить той самий файл після перезавантаження, це ознака активного persistence: тимчасово не заходьте в важливі акаунти з цього ПК, збережіть detection report і перевірте сервіси та автозапуск.

Якщо Hola Browser був завантажений не з офіційного сайту, а з mirror-сайту, bundle-інсталятора або реклами, перевірку треба розширити. Майнер може бути лише одним видимим симптомом. Дивіться також на proxyware, підозрілі VPN-компоненти, розширення браузера і незрозумілий вихідний трафік.

FAQ

Чи є Hola Browser шкідливим ПЗ?

Звіт Sophos описує неочікуваний компонент me.exe, який потрапив через скомпрометований або неконсистентний pipeline доставки. Hola заявила Sophos, що pipeline виправлено. Користувачу важливо перевірити саме файли й сервіс, а не вважати будь-яку інсталяцію автоматично чистою.

Який файл шукати першим?

Почніть із C:\Program Files\Hola\me.exe і C:\Program Files\Hola\HolaMonitorService.exe. Також перевірте сервіс hola_monitor_svc.

Чи достатньо видалити me.exe?

Ні. Окреме видалення файлу може залишити сервіс Windows, виключення Defender, scheduled task або браузерні компоненти. Видаліть застосунок, приберіть persistence, проскануйте систему, перезавантажте ПК і перевірте, що індикатори не повертаються.

Чи були викрадені паролі?

Hola повідомила Sophos, що дані користувачів не були доступні або викрадені. Описаний payload є майнером, тому основний ризик – використання ресурсів і закріплення в системі. Міняйте паролі, якщо паралельно знайдете інше шкідливе ПЗ, підозрілі розширення або дивну активність акаунтів.

Джерела

  1. Sophos X-Ops. “You do surprise me.exe: An unexpected executable in Hola Browser.” Sophos, опубліковано 4 червня 2026 року; переглянуто 5 червня 2026 року. https://www.sophos.com/en-us/blog/you-do-surprise-me-exe-an-unexpected-executable-in-hola-browser
  2. Microsoft Learn. “Configure and validate Microsoft Defender Antivirus exclusions.” Microsoft, оновлено 22 травня 2026 року; переглянуто 5 червня 2026 року. https://learn.microsoft.com/en-us/defender-endpoint/configure-extension-file-exclusions-microsoft-defender-antivirus
  3. Microsoft Learn. “sc query.” Microsoft, оновлено 7 травня 2026 року; переглянуто 5 червня 2026 року. https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/sc-query
Стефанія А.
Автор Стефанія А.
Усі матеріали

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.