Приведу свой пример. Явно не считаю себя ламером, тем не менее пролет имеет место. Поставил в прошлом году твикер для видюхи ати. Причем скачанный с нормального ресурса, фриварного. Спустя почти два месяца обнаружил прибавку в статике мегов 10. Через неделю ещё 20-25. Дальнейшие разборы показали, кстати подсказку дал тогда grezet, за это отдельное спасибо, смотреть исходящие. Эта строка редко просматривается, т.к. мало кто отсылает по 20-30 мегов. Дальнейшие копания показали, что файрволл был в обучалке, соответственно не спросил о блокировке исходяших. В исходящих в статике нашел ипи, grezet указал на него прова где-то в Германии. Но меня это не обрадовало. Скан на троян показал кто пакостит. Конечно с ним сурово разобрался как в реестре, так и на более высоком уровне. Антивирь понял его как самую порядочную прогу.
Что хочу сказать? Проверь работу антивирусника, файрволла, ну т.д. Не тот ли у тебя случай?
Ещё полезно ставить прогу типа TMeter, которая фиксирует весь трафик как туда, так и оттуда. Но это на уровне паронойи. Хотя как знать!