Em dùng DUMETER đo thì thấy mỗi khi khởi động máy lại thì máy em tự download về rất nhìu, khoảng 50MB,down liên tục, xong nó dừng lại, dc 1 lúc nữa thì lại down tiếp, cứ như vậy nếu em để máy ko làm gì thì cả ngày nó down về khoảng 300MB, mà em xài tính theo dung lượng nên xót quá, tức 1 cái là em chẳng bít cái gì nó down và down về cái gì để ở đâu ko bít, các bác coi có cách gì theo dõi đc phần mềm nào đang download trong máy mình ko? Chứ nếu để vầy tới cuối tháng chắc em viêm túi quá. Ngoài bịnh download thì ko thấy biểu hiện j khác, dưới đây là file log hijackthis, coi giúp em với các bác.

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
E:\DU METER\DU Meter\DUMeterSvc.exe
E:\DU METER\DU Meter\DUMeter.exe
C:\WINDOWS\system32\CBA\pds.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Nguyen Thanh Long\Desktop\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O1 - Hosts: 210.86.231.40 update.nprotect.com
O1 - Hosts: 210.86.231.40 update.nprotect.net
O1 - Hosts: 210.86.231.40 guard.gunbound.net
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - E:\Chuong trinh\DISK\Internet Download Manager\IDMIECC.dll (file missing)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [dksystem] C:\WINDOWS\ntsystem.exe
O4 - HKCU\..\Run: [DU Meter] E:\DU METER\DU Meter\DUMeter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download All by FlashGet - E:\Chuong trinh\DISK\FlashGet\jc_all.htm
O8 - Extra context menu item: Download All Links with IDM - E:\Chuong trinh\DISK\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download using FlashGet - E:\Chuong trinh\DISK\FlashGet\jc_link.htm
O8 - Extra context menu item: Download with IDM - E:\Chuong trinh\DISK\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: DF5Serv - Faronics Corporation - C:\Program Files\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
O23 - Service: DU Meter Service (DUMeterSvc) - Hagel Technologies Ltd - E:\DU METER\DU Meter\DUMeterSvc.exe
O23 - Service: Intel PDS - LANDesk Software Ltd. - C:\WINDOWS\system32\CBA\pds.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

--

[=========> Bổ sung bài viết <=========]

Sao ko ai trả lời em hết vậy? Ít ra thì cũng fải có phần mềm nào đó xem đc cái gì đang tải về máy mình chứ ạh, có ai có ko giúp em với.

File log trên ko có j bất thường cả

Nếu nó có connect internet thì dùng 1 số chương trình sniff để theo dõi xem Application nào connect ra ngoài (có thể dùng freeware smartsniff http://www.nirsoft.net/utils/smsniff.zip
Nhớ cấu hình cho nó hiện cột "Process filename" : chuột phải trên grid chọn cột cần hiển thị
Tiếp : Oprion > Advance Option > check vô Retreive process nfo ...
Xong check thử = cách mở Browser lên connect vào 1 site xem smartsniff "thấy" nó ko ? Nếu ok thì coi tiếp khúc dưới

Dẹp hết các chương trình có dùng net như YM. Thoát hết các chương trình nào có thể thoát
Thấy application nào connect ra ngoài rồi mình nói chuyện tiếp.

Em đã làm theo lời bác và thấy thằng C:\WINDOWS\ntsystem.exe liên tục kết nối. Em nghĩ nó gửi tới 1 cái mail nào đó thông tin máy của em . Đây là 1 lần nó kết nối và em lưu lại đây:

==================================================
Index : 51
Protocol : TCP
Local Address : 192.168.1.2
Remote Address : 209.191.106.136
Local Port : 1496
Remote Port : 25
Local Host :
Remote Host :
Service Name : smtp
Packets : 5
Data Size : 76 Bytes
Total Size : 354 Bytes
Capture Time : 11/24/2008 23:52:36 PM:468
ProcessID : 1976
Process Filename : C:\WINDOWS\ntsystem.exe
Local MAC Address :
Remote MAC Address:
Local IP Country :
Remote IP Country :
==================================================

220 smtp130.mail.mud.yahoo.com ESMTP

quit

221 smtp130.mail.mud.yahoo.com
==================================================

Mỗi lần nó kết nối là 1 cái smtp khác nhau, như ở trên là smtp130, và có khoảng 3,4 cái smtp lặp đi lăp lại. Tiếp theo là làm gì nữa bác.

DWK bị nhiều người đánh giá là khá chuối nên mình cũng ko xài qua.
Trong trường hợp của bạn thì nên gỡ nó ra đi.

Nếu có yêu cầu restart j thì cứ làm theo
Sau đó dùng hijack this scan lại

Nếu bạn ko biết/ko thể gỡ nó HOẶC
Sau khi uninstall DWK mà thấy vẫn còn :
O4 - HKLM\..\Run: [dksystem] C:\WINDOWS\ntsystem.exe
Thì kill process ntsystem.exe trước rồi dùng hjthis fix cái dòng trên.
(Nếu Taskmanager ko đủ mạnh để kill ntsystem.exe thì bạn có thể dùng Process Explorer http://download.sysinternals.com/Files/Proces***plorer.zip )
* Luôn nhớ kill process trước rồi mới Fix reg

p/s : thay 3 dấu * trg link bằng "s E x" (ko có khoảng trắng và ngoặc kép)

thank bạn đã chỉ cho mình ,bây giờ thì ko còn thấy nó tải về nữa ròi, có lẽ nó cập nhật hay gì đó mà mình cài DF nên mỗi lần khởi động là nó tải lại.

uhm :)
Mà cách cập nhật của DWK cũng "độc" ghê :D