EventID:4697 (ServiceFileName:\\$PSHome\\[\\s*\\d{1,3}\\s*\\]\\s*\\+\\s*\\$PSHome\\[ OR ServiceFileName:\\$ShellId\\[\\s*\\d{1,3}\\s*\\]\\s*\\+\\s*\\$ShellId\\[ OR ServiceFileName:\\$env:Public\\[\\s*\\d{1,3}\\s*\\]\\s*\\+\\s*\\$env:Public\\[ OR ServiceFileName:\\$env:ComSpec\\[(\\s*\\d{1,3}\\s*,){2} OR ServiceFileName:\\\\*mdr\\*\\W\\s*\\)\\.Name OR ServiceFileName:\\$VerbosePreference\\.ToString\\( OR ServiceFileName:\\String\\]\\s*\\$VerbosePreference)