Подозрительное соединение на сервере

ОС: Windows Server 2003 Инструмент мониторинга: CurrPorts

При мониторинге трафика на сервере для трафика, выходящего через порт 80, пример результатов:

01.05.2014 14:36:23 Добавлен cscript.exe IP-адрес сервера TCP:51560 207.34.231.48:80 01.05.2014 14:36:23 Добавлен cscript.exe IP-адрес сервера TCP:51574

Кажется, что трафик инициируется cscript.exe и собирается на 207.34.231.48:80.

Я использовал этот совет, чтобы проверить, какие сценарии запускаются cscript.exe в то время: http://blogs.msdn.com/b/gstemp/archive/2004/02/13/72505.aspx

Однако все результаты, которые я получаю, являются стандартными сценариями SCOM, например: "C:\Windows\system32\cscript.exe" /nologo "D:\Program Files\System Center Operations Manager 2007\ Состояние службы работоспособности \ Отслеживание временных файлов хоста 38\file.vbs"

Я посмотрел в сценарии, и я не получаю никаких намеков на то, что вызывает исходящий трафик на 207.34.231.48:80.

Кто-нибудь может порекомендовать какие-либо шаги, которые я могу предпринять, чтобы определить, что заставляет сервер отправлять трафик на этот IP?