Windows 7 Pro - DNS-серверы изменены на рабочих станциях с включенным DHCP в выходные дни, не знаю, как

Этим утром я пришел в наш офис SOHO (> 5 пользователей) и узнал, что Интернет не работает. Я попробовал все обычные простые исправления, такие как циклическое переключение (у каждого пользователя есть переключатель на рабочем столе), затем я перешел к аппаратному брандмауэру и модему, перезапустив и переключившись соответственно. Одна рабочая станция могла получить доступ к Интернету, и сначала я понятия не имел, почему. Короче говоря, я заметил, что на машине, которая могла заниматься серфингом, был отключен DHCP. На всех остальных машинах включен DHCP и каким-то образом были изменены DNS-серверы с серверов, предоставленных нашим интернет-провайдером, на какой-то внутренний адрес, с которым я не был знаком, а не на наш обычный сетевой префикс.

• Наш обычный сетевой префикс: 192.168.168.xxx
• DNS, который был установлен вместо DNS нашего интернет-провайдера: 192.168.15.1 (он же загадочный IP)

Информация:

• Windows 7 Pro 64 бит
• Связанный модем ADSL подключен к межсетевому экрану Sonicwall TZ105
• Sonicwall из интерфейса X0 LAN для переключения, переключения каналов через инфраструктуру для переключения рядом с рабочим столом пользователя, а затем с машиной пользователя.
• Я не могу пинговать загадочный IP, ничего не получаю
• Аппаратный межсетевой экран обеспечивает DHCP

Все машины имели сетевое соединение, но не могли просматривать или получать электронную почту с сервера Exchange. Когда я запустил диагностику Windows, он сказал мне, что конфигурация верна, но DNS-сервер не отвечает. Я сменил DNS-серверы обратно на наши ISP-серверы, и все было хорошо. В некоторых случаях мне также приходилось менять шлюз по умолчанию обратно на наш аппаратный брандмауэр с таинственного IP.

Я все еще пытаюсь понять, что произошло за выходные, что могло вызвать эту проблему; другие похожие проблемы, похоже, связаны с тем, что какой-то другой DHCP-сервер подключен к нашей сети (проблема с мошенническим DHCP-сервером), но с нашей сетью не было подключено ничего необычного, и, насколько мне известно, больше ничего в нашей сети не предоставляет DHCP.

Другая информация:

• ВМ с Debian на моей рабочей станции - почти никогда не использую
• XAMPP на компьютере, не являющемся рабочей станцией - используется довольно часто, но только мной через удаленный рабочий стол
• Устройство Synology NAS

Я снимаю здесь в темноте, поэтому не уверен, какая информация мне пригодится. Меня беспокоит то, что на нас как-то напали. Я проверил журнал брандмауэра, но он вернулся только к 8:30 сегодня утром, не знаю почему.

Любые идеи и предложения, конечно, приветствуются.

edit: Просматривая настройки DNS для Sonicwall, я вижу, что он настроен на динамическое наследование DNS от DNS-серверов ISP. Также есть опция под названием «Предотвращение атаки повторного связывания DNS», которая включена; одна из многих функций Sonicwall, о которых я могу догадываться, но не знаю полного значения.