С ходу конкретный совет наверное не получится дать, но могу дать такой совет - поснифить трафик на предмет ARP шторма. У меня была однажды проблема подобного плана, оказалось, что завелся самописный троян.
Т.к. вредоносное ПО пытается соединиться с произвольным хостом, отсюда множество запросов ARP на выяснение IP адреса.
Можно использовать например сетевой монитор от Microsoft используюя фильтрацию по протоколу ARP и запросу вида who-has.
Можно также использовать *nix и tcp dump
например:
tcpdump -l -n arp | grep 'arp who-has' | head -100 | awk '{print $NF }' | sort | uniq -c | sort -n
В результате работы данной строки можно получить список IP адресов, рассылающих запросы вида who-has. Наибольшее кол-во отосланных запросов от машины говорит о том, что есть неполадки ( я сталкивался с неверно прописанной машиной в DNS, которая генерировала множество подобных запросов)
Сеть со свичами не помеха, т.к. нужны только те машины, кто задает вопросы.
