(Image:\\msdtc.exe OR Image:\\gpsvc.exe) (-(Image:C\:\\Windows\\System32\\* OR Image:C\:\\Windows\\SysWOW64\\*))