Через пару минут, эта херня вылазиет, когда ты делаешь частые запросы, например при поиске скулы.

У меня такое было

Бывало такое, так и не разбанили.

Кстати, немного не в тему, но тем не менее - советую всем, кто часто держит на телефоне суммы денег, превышающие "на один раз позвонить", обратиться в техподдержку своего оператора и подключить услугу "запрет контента". Это бесплатно и полностью отключает возможность списания каких-либо денег посторонними. 

А поводу проблемы в первом посте - налицо явное вмешательство в процесс преобразования домен-> айпи адрес. В первую очередь проверь файл hosts, если там все чисто - попробуй почиститься антивирусом наверное. 

скачай Malwarebytes Anti-Malware, почисть им, и из хостс удали все, если что-то осталось.

постная уйня

Проверил через AVZ-не помогло.
проверил внедренные dll-нашло овер 20 шт.

сейчас такая же фигня, контач с гуглом и яндексом просят смс за бабло. Сканирую Авирой пока.

Была такая же проблема, погуглил, удалил какой-то файл в скрытой папке, теперь все работает

1. Эту ксунту не видят внтивири

2.  Эта ксунта хранится в виде библиотек .dll

3. Самый частый вариант с этой малварью, который видел: библиотека с рандомным названием в program files/Mozilla Firefox. Особенно забавно смотрелось в системе, где фаерфокса отродясь не стояло

4. Вариант который также видел: рандомная библиотека в roaming текущего юзера, либо в общем профиле public в юзерсах

5. Не нашлось? Тогда хватаете process explorer ot sysinternals (на сайте мелкомягких где-то), запускаете браузер, заходите в свой гугель, запускаете процессэксплорер, выделяете процесс своего браузера, жмакаете ctrl+h. В нижнем окне будет список файлов и библиотек, с которыми работает браузер.

После этого ищите подозрительную библиотеку в

C:\users\public

C:\users\имя текущей учётки

(в русском варианте там, кажется, пользователи или как-то так)

C:\Documents and Settings\All Users

C:\Documents and Settings\Default User

C:\Documents and Settings\LocalService

C:\Documents and Settings\ironman (имя текущей учётки, в общем)

При нахождении подозрительной библиотеки открываете папку её местоположения, закрываете браузер (чтобы процесс отпустил библиотеку), преименовываете библиотеку (добавив 1 в начало, например). Запускаете браузер. Не помогло? Смотрите и переименовываете дальше. Только не забудьте непричастные к беде библиотеки обратно переименовать.

Гораздо реже видел вариант через .js. Всего 2 раза.

Его вычислить через процессэксплорер проще. Да и антивири видят.

В любом случае. Можно win+r, там msconfig ->enter. Во вкладке startup (по русски, кажется, автозагрузка) и смотрите, чего там автоматически подгружается. Как правило, всякий софт к железу, мониторы/сопутствующие службы. Из Documents and Settings и users, как правило, добропорядочный софт не запускается. Но применимости msconfig'a к проблеме как на скриншоте я не встречал, но вполне допускаю. Бо вирусоПЕЙСАтели обычно модифицируют со временем свою малварь. Правда 80% из них безрукие критины. Из встреченного за последние 8 лет достойны внимания только семейства conficker, zeus, sality. Остальное - достаточно трэшовые поделки.

ЗЫ Лайфекс - некропостер