На компьютерах в сети пропадает соединение с сервером

**Денис Ячменёв** · 20.12.2013, 11:21

Здравствуйте. Организация, 32 машины в ЛС, рабочая АИС реализована как веб-приложение.
На этой неделе стала наблюдаться проблема - на четырех машинах (в одном кабинете) периодически пропадает связь. Соединение есть, но пинг до сервера не идет. Лечится только отключением соединения или перезагрузкой. Ранее такое уже было, но только на 2-х машинах и не чаще 2х раз в день, сейчас же это происходит по несколько раз в час.
Покопался в нэте, наткнулся на MD ARP Monitor. Запустил его, через некоторое время появились сообщения о подмене МАК-адресов компьютеров на адрес модема, раздающего интернет. Первоночально сообщения шли со старых серверов, которые оставили для поддержки старых АИС. Просканировал их антивирусом, на обоих нашел Win32.hllw.autoruner.5555. Удалил, ситуация не изменилась. Просканировал основной сервер, нашел Expiro.22, но он находился в архивных документах и по моему опыту знакомства с ним он спал. На системном разделе все чисто.
Были мысли что вирь сидит у меня, но NOD и курИт ничего не нашли.
Запустил MD ARP Monitor на машине, которая вылетает из сети. Там тоже обнаружена подмена.
Коммутатор новый, сервер тоже, ПК пользователей уже как 7 лет в работе, может у них что-то не так но не у группы же сразу.

IP-адреса проблемных машин:
192.168.17.4
192.168.17.14
192.168.17.60
192.168.17.67

вложения с моего компьютера, у меня проблем не наблюдалось.
Проблема так же решается ожиданием. То есть минут через 5-7 подключение восстанавливается само. Если успею в этим минуты сделать логи, то прикреплю и их

Антивирус NOD32 Bisness Edition 4.0 лицензия
прикладываю логи и некоторые сведения об организации.

Первые три октета IP-адресов 192.168.17
32 машины под управлением Win XP Sp3.
Сервер Win Server 2012 Std (IP .151).
В сети имеются два шлюза - шлюз для доступа в Интернет (.129) и шлюз для обеспечения связи с головной организацией (.254).
У пользователей по-умолчанию шлюзом стоит сервер. Сеть объединена через коммутатор HP V1910 48G.
Адреса старых серверов .10 и .1

Данные MD ARP Monitor

12:24:23 Запуск программы.
12:24:23 Адаптер: Atheros AR8152/8158 PCI-E Fast Ethernet Controller (NDIS 6.20), IP: 192.168.17.154, Маска: 255.255.255.0
12:24:25 Новый IP-адрес! 192.168.17.1 00-19-bb-23-f5-28
12:24:25 Новый IP-адрес! 192.168.17.4 c8-60-00-ec-73-ac
12:24:25 Новый IP-адрес! 192.168.17.7 00-1f-c6-c0-1e-d3
12:24:25 Новый IP-адрес! 192.168.17.10 00-22-15-3a-e5-b6
12:24:25 Новый IP-адрес! 192.168.17.15 00-22-15-b9-dd-f1
12:24:25 Новый IP-адрес! 192.168.17.16 00-11-09-8c-eb-d5
12:24:25 Новый IP-адрес! 192.168.17.31 00-22-15-b9-de-09
12:24:25 Новый IP-адрес! 192.168.17.33 00-22-15-b9-da-39
12:24:25 Новый IP-адрес! 192.168.17.34 00-14-2a-8b-db-f9
12:24:25 Новый IP-адрес! 192.168.17.37 00-1f-c6-c0-1e-de
12:24:25 Новый IP-адрес! 192.168.17.50 00-c0-ee-ae-6e-36
12:24:25 Новый IP-адрес! 192.168.17.51 00-1f-c6-c0-1e-77
12:24:25 Новый IP-адрес! 192.168.17.54 00-c0-ee-ae-7d-d2
12:24:25 Новый IP-адрес! 192.168.17.58 00-25-90-aa-df-bf
12:24:25 Новый IP-адрес! 192.168.17.67 00-16-17-ef-27-d9
12:24:25 Новый IP-адрес! 192.168.17.72 00-1d-ba-1a-87-f1
12:24:25 Новый IP-адрес! 192.168.17.95 00-1f-c6-c0-1e-e8
12:24:25 Новый IP-адрес! 192.168.17.129 00-02-cf-9d-1c-60
12:24:25 Новый IP-адрес! 192.168.17.142 b8-97-5a-0c-ed-fd
12:24:25 Новый IP-адрес! 192.168.17.151 00-25-90-aa-e2-64
12:24:25 Новый IP-адрес! 192.168.17.152 00-24-1d-8b-3a-bc
12:24:25 Новый IP-адрес! 192.168.17.155 c8-60-00-ec-6f-5a
12:24:25 Новый IP-адрес! 192.168.17.255 ff-ff-ff-ff-ff-ff
12:24:25 Новый IP-адрес! 224.0.0.22 01-00-5e-00-00-16
12:24:25 Новый IP-адрес! 224.0.0.252 01-00-5e-00-00-fc
12:24:25 Новый IP-адрес! 231.0.0.1 01-00-5e-00-00-01
12:24:25 Новый IP-адрес! 239.255.255.250 01-00-5e-7f-ff-fa
12:24:25 Новый IP-адрес! 255.255.255.255 ff-ff-ff-ff-ff-ff
12:24:50 Подмена адреса! 192.168.17.10 00-02-cf-9d-1c-60 (192.168.17.10 00-22-15-3a-e5-b6)
12:28:43 Подмена адреса! 192.168.17.10 00-02-cf-9d-1c-60 (192.168.17.10 00-22-15-3a-e5-b6)
12:41:03 Подмена адреса! 192.168.17.1 00-02-cf-9d-1c-60 (192.168.17.1 00-19-bb-23-f5-28)
12:59:44 Подмена адреса! 192.168.17.72 00-02-cf-9d-1c-60 (192.168.17.72 00-1d-ba-1a-87-f1)
14:19:45 Подмена адреса! 192.168.17.58 00-02-cf-9d-1c-60 (192.168.17.58 00-25-90-aa-df-bf)
14:19:50 Подмена адреса! 192.168.17.72 00-02-cf-9d-1c-60 (192.168.17.72 00-1d-ba-1a-87-f1)
14:42:14 Новый IP-адрес! 192.168.17.14 00-16-17-f1-8e-48
15:34:32 Подмена адреса! 192.168.17.54 00-02-cf-9d-1c-60 (192.168.17.54 00-c0-ee-ae-7d-d2)
17:01:39 Подмена адреса! 192.168.17.72 00-02-cf-9d-1c-60 (192.168.17.72 00-1d-ba-1a-87-f1)
17:05:02 Подмена адреса! 192.168.17.7 00-02-cf-9d-1c-60 (192.168.17.7 00-1f-c6-c0-1e-d3)
08:13:26 Подмена адреса! 192.168.17.67 00-02-cf-9d-1c-60 (192.168.17.67 00-16-17-ef-27-d9)
08:26:07 Подмена адреса! 192.168.17.67 00-02-cf-9d-1c-60 (192.168.17.67 00-16-17-ef-27-d9)
08:35:45 Подмена адреса! 192.168.17.51 00-02-cf-9d-1c-60 (192.168.17.51 00-1f-c6-c0-1e-77)
08:50:17 Новый IP-адрес! 192.168.17.11 00-16-17-f1-90-f4
08:57:38 Новый IP-адрес! 192.168.17.64 00-16-17-f1-8f-de
08:58:23 Новый IP-адрес! 192.168.17.69 00-16-17-f1-90-d0
08:59:19 Новый IP-адрес! 192.168.17.27 00-14-2a-8a-15-a1
08:59:24 Подмена адреса! 192.168.17.16 00-02-cf-9d-1c-60 (192.168.17.16 00-11-09-8c-eb-d5)
09:00:00 Подмена адреса! 192.168.17.64 00-02-cf-9d-1c-60 (192.168.17.64 00-16-17-f1-8f-de)
09:01:31 Новый IP-адрес! 192.168.17.60 00-16-17-f1-8e-a7
09:03:12 Подмена адреса! 192.168.17.95 00-02-cf-9d-1c-60 (192.168.17.95 00-1f-c6-c0-1e-e8)
09:10:28 Подмена адреса! 192.168.17.15 00-02-cf-9d-1c-60 (192.168.17.15 00-22-15-b9-dd-f1)
09:11:09 Подмена адреса! 192.168.17.14 00-02-cf-9d-1c-60 (192.168.17.14 00-16-17-f1-8e-48)
09:17:39 Подмена адреса! 192.168.17.10 00-02-cf-9d-1c-60 (192.168.17.10 00-22-15-3a-e5-b6)
09:19:31 Новый IP-адрес! 224.0.0.2 01-00-5e-00-00-02
09:20:32 Новый IP-адрес! 192.168.17.254 00-02-cf-cb-a1-82
09:20:37 Подмена адреса! 192.168.17.10 00-02-cf-9d-1c-60 (192.168.17.10 00-22-15-3a-e5-b6)
09:38:26 Подмена адреса! 192.168.17.1 00-02-cf-9d-1c-60 (192.168.17.1 00-19-bb-23-f5-28)
09:40:17 Новый IP-адрес! 192.168.17.65 00-16-17-f1-8e-c3
09:42:14 Подмена адреса! 192.168.17.65 00-02-cf-9d-1c-60 (192.168.17.65 00-16-17-f1-8e-c3)
с соседней машины09:47:54 Запуск программы.
09:47:54 Адаптер: Realtek RTL8169/8110 Family Gigabit Ethernet NIC, IP: 192.168.17.14, Маска: 255.255.255.0
09:47:57 Новый IP-адрес! 192.168.17.16 00-11-09-8c-eb-d5
09:48:42 Подмена адреса! 192.168.17.60 00-02-cf-9d-1c-60 (192.168.17.60 00-16-17-f1-8e-a7)
10:13:27 Подмена адреса! 192.168.17.4 00-02-cf-9d-1c-60 (192.168.17.4 c8-60-00-ec-73-ac)
11:14:48 Подмена адреса! 192.168.17.60 00-02-cf-9d-1c-60 (192.168.17.60 00-16-17-f1-8e-a7)

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 20.12.2013, 11:25

Уважаемый(ая) Денис Ячменёв, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.