Доброго времени суток.
Проблема началась несколько дней назад на многих рабочих станциях и на всех роутерах, построенных на WS2003, на которых установлен сабж и заключалась в большой загрузке их процессом smc.exe. В журнале трафика постоянно появляются записи о блокировании сетевых угроз. Работа практически парализована нагрузкой и глюками сети, антивирусы ОС, обновляются постоянно. Пробовал сканировать CureIt`ом с загрузочной флешки, ничего не найдено.
Роутеры соединяются между собой через OpenVPN мостом с главным роутером, на каждом стоит трафик инспектор, открыт доступ через RDP
На серверах и рабочих станциях так же иногда появляются сообщения и заносятся записи в журнал безопасности, но она идет с рабочих станций (похоже это отношения к делу не имеет):
Заблокирована атака: [SID: 23179] OS Attack: MSRPC Server Service RPC CVE-2008-4250.Заблокирован трафик для следующего приложния: SYSTEM
Ребята, прошу помощи.

И что тут не понятного?
Сидит у Вас старая малварка (http://www.cvedetails.com/cve/CVE-2008-4250/) и ищет дырку на компах, но зафиксали (http://technet.microsoft.com/en-us/security/bulletin/ms08-067) ее еще в 2008 году.
Не верите? Можете поиграть с Metasploit (http://www.rapid7.com/db/modules/exploit/windows/smb/ms08_067_netapi) и убедиться что получите ту-же CVE.
Или специалисты Symantec наложили не верную сигнатуру на IDS (http://ru.wikipedia.org/wiki/%D0%A1%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%BE%D0%B1%D0%BD%D0%B0%D1%80%D1%83%D0%B6%D0%B5%D0%BD%D0 %B8%D1%8F_%D0%B2%D1%82%D0%BE%D1%80%D0%B6%D0%B5%D0%BD%D0%B8%D0%B9).

Насчет остального узнавайте у Symantec, почему они решили блокировать тот или иной трафик.

Спасибо за информацию, видимо где то стоит очень древнее железо, но это, как я уже сказал это не главное, а главное то, что заставляет драйвер моста генерировать подозрительный трафик. Как все таки узнать что это за пакеты?

cashmarik, С учетом того что это мост то генерировать может любой хост подключенный к нему.

Интересно то, что исходящие пакеты видимо более низкого уровня (см.рисунок), широковещательные что ли? а входящие, которые тоже блокируются идут уже от известных ip по протоколам UDP. Такая картина наблюдается на всех роутерах и на некоторых рабочих станциях, возможно они заражены чем то или это все таки трафик извне? Удалять антивирус тоже ведь не вариант :)

cashmarik, Возьмите wireshark и посмотрите что там у Вас, если подозрительного трафика нету то все нормально.
Главный недостаток продуктов с IDS это то что они не показывают детальную информацию о пакетах.