(ParentImage:\\stordiag.exe (Image:\\schtasks.exe OR Image:\\systeminfo.exe OR Image:\\fltmc.exe)) (-(ParentImage:c\:\\windows\\system32\\* OR ParentImage:c\:\\windows\\syswow64\\*))