(EventID:2004 OR EventID:2071 OR EventID:2097) Action:3 ModifyingApplication:\:\\Windows\\System32\\wbem\\WmiPrvSE.exe