윈도우 사용도중 갑자기 Windows 종료 창이 나타남과 동시에 작업표시줄의 프로그램이 전부 꺼집니다.

Question

주제대로 윈도우 사용도중 갑자기 Windows 종료창이 나타남과 동시에 작업표시줄의 모든 프로그램이 전부 순차적으로 꺼집니다.

이때 작업표시줄의 일반프로그램뿐만 아니라, 시계줄 옆의 트레이형 아이콘들도 하나씩 꺼집니다(스피커, 네트워크 등)

재부팅하면 이상없이 사용가능하다가, 일정시간후에 간간히 문제가 일어납니다.

위 문제가 자주 일어나, PC의 Windows 10을 재설치했으나, 재설치해도 동일한 증상이 일어나는거보니 바이러스문제라고 생각되진 않아서 글을 남깁니다.

// 파일첨부가 안되어, 기록을 일일이 복사하였습니다.

해당 사건이 일어난 이벤트기록은 아래와 같습니다.

경고 2021-04-04 오전 11:08:33 DistributedCOM 10016 없음

경고 2021-04-04 오전 11:08:32 DistributedCOM 10016 없음

경고 2021-04-04 오전 8:43:09 DistributedCOM 10016 없음

경고 2021-04-04 오전 8:40:29 DistributedCOM 10016 없음

경고 2021-04-04 오전 8:40:29 DistributedCOM 10016 없음

경고 2021-04-04 오전 8:39:46 DistributedCOM 10016 없음

경고 2021-04-04 오전 8:37:34 DistributedCOM 10016 없음

경고 2021-04-04 오전 8:37:25 DistributedCOM 10016 없음

경고 2021-04-04 오전 8:37:09 User Device Registration 360 없음

경고 2021-04-04 오전 8:37:09 DistributedCOM 10016 없음

경고 2021-04-04 오전 8:37:09 DistributedCOM 10016 없음

오류 2021-04-04 오전 8:37:02 Eventlog 1101 이벤트 처리

위험 2021-04-04 오전 8:36:57 Kernel-Power 41 (63)

오류 2021-04-04 오전 8:37:02 EventLog 6008 없음

경고 2021-04-04 오전 8:22:00 DistributedCOM 10016 없음

경고 2021-04-04 오전 8:14:17 DistributedCOM 10016 없음

경고 2021-04-04 오전 8:14:12 DistributedCOM 10016 없음

경고 2021-04-04 오전 8:14:12 DistributedCOM 10016 없음

경고 2021-04-04 오전 8:14:00 DistributedCOM 10016 없음

오류 2021-04-04 오전 8:13:42 Application Error 1000 (100)

경고 2021-04-04 오전 8:13:13 DistributedCOM 10016 없음

경고 2021-04-04 오전 8:13:12 DistributedCOM 10016 없음

경고 2021-04-04 오전 8:13:12 DistributedCOM 10016 없음

경고 2021-04-04 오전 8:13:04 DistributedCOM 10016 없음

경고 2021-04-04 오전 8:12:57 DistributedCOM 10016 없음

경고 2021-04-04 오전 8:12:48 User Device Registration 360 없음

경고 2021-04-04 오전 8:12:47 DistributedCOM 10016 없음

경고 2021-04-04 오전 8:12:47 DistributedCOM 10016 없음

경고 2021-04-04 오전 8:12:41 Kernel-EventTracing 1 Logging

여기서 10016 이벤트가 많은데 두가지입니다.

1. 오전 8:12에 일어난 두개의 10016 경고입니다.

로그 이름:         System

원본:            Microsoft-Windows-DistributedCOM

날짜:            2021-04-04 오전 8:12:47

이벤트 ID:        10016

작업 범주:         없음

수준:            경고

키워드:           클래식

사용자:           LOCAL SERVICE

컴퓨터:           GOMRANGSSENI

설명:

응용 프로그램별 권한 설정에서 CLSID가

{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}

이고 APPID가

{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}

인 COM 서버 응용 프로그램에 대한 로컬 활성화 사용 권한을 응용 프로그램 컨테이너 사용할 수 없음 SID(사용할 수 없음)에서 실행 중인 주소 LocalHost(LRPC 사용)의 사용자 NT AUTHORITY\LOCAL SERVICE SID(S-1-5-19)에게 부여하지 않았습니다. 구성 요소 서비스 관리 도구를 사용하여 이 보안 권한을 수정할 수 있습니다.

이벤트 Xml:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

<System>

<Provider Name="Microsoft-Windows-DistributedCOM" Guid="{1B562E86-B7AA-4131-BADC-B6F3A001407E}" EventSourceName="DCOM" />

<EventID Qualifiers="0">10016</EventID>

<Version>0</Version>

<Level>3</Level>

<Task>0</Task>

<Opcode>0</Opcode>

<Keywords>0x8080000000000000</Keywords>

<TimeCreated SystemTime="2021-04-03T23:12:47.8961761Z" />

<EventRecordID>3329</EventRecordID>

<Correlation ActivityID="{c44a48b9-1c3a-4e98-aeed-f979ab7c19d9}" />

<Execution ProcessID="1116" ThreadID="1892" />

<Channel>System</Channel>

<Computer>GOMRANGSSENI</Computer>

<Security UserID="S-1-5-19" />

</System>

<EventData>

<Data Name="param1">응용 프로그램별</Data>

<Data Name="param2">로컬</Data>

<Data Name="param3">활성화</Data>

<Data Name="param4">{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}</Data>

<Data Name="param5">{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}</Data>

<Data Name="param6">NT AUTHORITY</Data>

<Data Name="param7">LOCAL SERVICE</Data>

<Data Name="param8">S-1-5-19</Data>

<Data Name="param9">LocalHost(LRPC 사용)</Data>

<Data Name="param10">사용할 수 없음</Data>

<Data Name="param11">사용할 수 없음</Data>

</EventData>

</Event>

2. 오전 8:12에 일어난 두개 10016 경고를 제외한 모든 10016 경고내용입니다

로그 이름:         System

원본:            Microsoft-Windows-DistributedCOM

날짜:            2021-04-04 오전 8:12:57

이벤트 ID:        10016

작업 범주:         없음

수준:            경고

키워드:           클래식

사용자:           GOMRANGSSENI\seung

컴퓨터:           GOMRANGSSENI

설명:

응용 프로그램별 권한 설정에서 CLSID가

{2593F8B9-4EAF-457C-B68A-50F6B8EA6B54}

이고 APPID가

{15C20B67-12E7-4BB6-92BB-7AFF07997402}

인 COM 서버 응용 프로그램에 대한 로컬 활성화 사용 권한을 응용 프로그램 컨테이너 사용할 수 없음 SID(사용할 수 없음)에서 실행 중인 주소 LocalHost(LRPC 사용)의 사용자 GOMRANGSSENI\seung SID(S-1-5-21-4271061264-475970230-2229458837-1002)에게 부여하지 않았습니다. 구성 요소 서비스 관리 도구를 사용하여 이 보안 권한을 수정할 수 있습니다.

이벤트 Xml:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

<System>

<Provider Name="Microsoft-Windows-DistributedCOM" Guid="{1B562E86-B7AA-4131-BADC-B6F3A001407E}" EventSourceName="DCOM" />

<EventID Qualifiers="0">10016</EventID>

<Version>0</Version>

<Level>3</Level>

<Task>0</Task>

<Opcode>0</Opcode>

<Keywords>0x8080000000000000</Keywords>

<TimeCreated SystemTime="2021-04-03T23:12:57.2962215Z" />

<EventRecordID>3331</EventRecordID>

<Correlation ActivityID="{0b0c80ac-5d1c-42d1-881e-dc338baeade2}" />

<Execution ProcessID="1116" ThreadID="1156" />

<Channel>System</Channel>

<Computer>GOMRANGSSENI</Computer>

<Security UserID="S-1-5-21-4271061264-475970230-2229458837-1002" />

</System>

<EventData>

<Data Name="param1">응용 프로그램별</Data>

<Data Name="param2">로컬</Data>

<Data Name="param3">활성화</Data>

<Data Name="param4">{2593F8B9-4EAF-457C-B68A-50F6B8EA6B54}</Data>

<Data Name="param5">{15C20B67-12E7-4BB6-92BB-7AFF07997402}</Data>

<Data Name="param6">GOMRANGSSENI</Data>

<Data Name="param7">seung</Data>

<Data Name="param8">S-1-5-21-4271061264-475970230-2229458837-1002</Data>

<Data Name="param9">LocalHost(LRPC 사용)</Data>

<Data Name="param10">사용할 수 없음</Data>

<Data Name="param11">사용할 수 없음</Data>

</EventData>

</Event>

3. 오전 8:37:02 에 일어난 에러입니다.

로그 이름:         System

원본:            EventLog

날짜:            2021-04-04 오전 8:37:02

이벤트 ID:        6008

작업 범주:         없음

수준:            오류

키워드:           클래식

사용자:           해당 없음

컴퓨터:           GOMRANGSSENI

설명:

‎2021-‎04-‎04의 오전 8:35:43에서 이전에 예기치 않은 시스템 종료가 있었습니다.

이벤트 Xml:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

<System>

<Provider Name="EventLog" />

<EventID Qualifiers="32768">6008</EventID>

<Version>0</Version>

<Level>2</Level>

<Task>0</Task>

<Opcode>0</Opcode>

<Keywords>0x80000000000000</Keywords>

<TimeCreated SystemTime="2021-04-03T23:37:02.4473884Z" />

<EventRecordID>3389</EventRecordID>

<Correlation />

<Execution ProcessID="0" ThreadID="0" />

<Channel>System</Channel>

<Computer>GOMRANGSSENI</Computer>

<Security />

</System>

<EventData>

<Data>오전 8:35:43</Data>

<Data>‎2021-‎04-‎04</Data>

<Data>

</Data>

<Data>

</Data>

<Data>1390</Data>

<Data>

</Data>

<Data>

</Data>

<Binary>E507040000000400080023002B001502E507040006000300170023002B0015023C0000003C000000000000000000000000000000000000000100000000000000</Binary>

</EventData>

</Event>

4. 오전 8:36:57에 일어난 위험입니다.

로그 이름:         System

원본:            Microsoft-Windows-Kernel-Power

날짜:            2021-04-04 오전 8:36:57

이벤트 ID:        41

작업 범주:         (63)

수준:            위험

키워드:           (70368744177664),(2)

사용자:           SYSTEM

컴퓨터:           GOMRANGSSENI

설명:

시스템이 비정상적으로 종료된 후 다시 부팅되었습니다. 이 오류는 시스템이 응답을 멈추었거나 손상되었거나 예기치 않게 전원 공급이 중단되면 발생할 수 있습니다.

이벤트 Xml:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

<System>

<Provider Name="Microsoft-Windows-Kernel-Power" Guid="{331c3b3a-2005-44c2-ac5e-77220c37d6b4}" />

<EventID>41</EventID>

<Version>8</Version>

<Level>1</Level>

<Task>63</Task>

<Opcode>0</Opcode>

<Keywords>0x8000400000000002</Keywords>

<TimeCreated SystemTime="2021-04-03T23:36:57.4996867Z" />

<EventRecordID>3415</EventRecordID>

<Correlation />

<Execution ProcessID="4" ThreadID="8" />

<Channel>System</Channel>

<Computer>GOMRANGSSENI</Computer>

<Security UserID="S-1-5-18" />

</System>

<EventData>

<Data Name="BugcheckCode">0</Data>

<Data Name="BugcheckParameter1">0x0</Data>

<Data Name="BugcheckParameter2">0x0</Data>

<Data Name="BugcheckParameter3">0x0</Data>

<Data Name="BugcheckParameter4">0x0</Data>

<Data Name="SleepInProgress">0</Data>

<Data Name="PowerButtonTimestamp">132619665849552521</Data>

<Data Name="BootAppStatus">0</Data>

<Data Name="Checkpoint">0</Data>

<Data Name="ConnectedStandbyInProgress">false</Data>

<Data Name="SystemSleepTransitionsToOn">0</Data>

<Data Name="CsEntryScenarioInstanceId">0</Data>

<Data Name="BugcheckInfoFromEFI">false</Data>

<Data Name="CheckpointStatus">0</Data>

<Data Name="CsEntryScenarioInstanceIdV2">0</Data>

<Data Name="LongPowerButtonPressDetected">false</Data>

</EventData>

</Event>

5. 오전 8:37:02 에 일어난 오류입니다.

로그 이름:         Security

원본:            Microsoft-Windows-Eventlog

날짜:            2021-04-04 오전 8:37:02

이벤트 ID:        1101

작업 범주:         이벤트 처리

수준:            오류

키워드:           감사 성공

사용자:           해당 없음

컴퓨터:           GOMRANGSSENI

설명:

전송에 의해 감사 이벤트가 삭제되었습니다. 0

이벤트 Xml:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

<System>

<Provider Name="Microsoft-Windows-Eventlog" Guid="{fc65ddd8-d6ef-4962-83d5-6e5cfe9ce148}" />

<EventID>1101</EventID>

<Version>0</Version>

<Level>2</Level>

<Task>101</Task>

<Opcode>0</Opcode>

<Keywords>0x4020000000000000</Keywords>

<TimeCreated SystemTime="2021-04-03T23:37:02.5642229Z" />

<EventRecordID>21172</EventRecordID>

<Correlation />

<Execution ProcessID="1692" ThreadID="2452" />

<Channel>Security</Channel>

<Computer>GOMRANGSSENI</Computer>

<Security />

</System>

<UserData>

<AuditEventsDropped xmlns="http://manifests.microsoft.com/win/2004/08/windows/eventlog">

<Reason>0</Reason>

</AuditEventsDropped>

</UserData>

</Event>

6. 오전 8:37:09에 일어난 경고입니다.

로그 이름:         Microsoft-Windows-User Device Registration/Admin

원본:            Microsoft-Windows-User Device Registration

날짜:            2021-04-04 오전 8:37:09

이벤트 ID:        360

작업 범주:         없음

수준:            경고

키워드:

사용자:           GOMRANGSSENI\seung

컴퓨터:           GOMRANGSSENI

설명:

Business용 Windows Hello 프로비저닝이 시작되지 않습니다.

장치는 결합된 AAD입니다( AADJ 또는 DJ++ ): Not Tested

사용자가 AAD 자격 증명으로 로그인했습니다: No

Business용 Windows Hello를 사용합니다: Not Tested

Business용 Windows Hello 포스트 로그인 프로비저닝을 사용합니다: Not Tested

로컬 컴퓨터가 Business용 Windows Hello 하드웨어 요구 사항을 충족합니다: Not Tested

사용자 원격 데스크톱을 통해 컴퓨터에 연결되지 않습니다: Yes

온프레미스 인증 정책에 대한사용자 인증서를 사용합니다: Not Tested

컴퓨터에 none 정책이 적용됩니다.

자세한 내용은 https://go.microsoft.com/fwlink/?linkid=832647을 참고하십시오.

이벤트 Xml:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

<System>

<Provider Name="Microsoft-Windows-User Device Registration" Guid="{23b8d46b-67dd-40a3-b636-d43e50552c6d}" />

<EventID>360</EventID>

<Version>0</Version>

<Level>3</Level>

<Task>0</Task>

<Opcode>0</Opcode>

<Keywords>0x8000000000000000</Keywords>

<TimeCreated SystemTime="2021-04-03T23:37:09.8359076Z" />

<EventRecordID>18</EventRecordID>

<Correlation />

<Execution ProcessID="7380" ThreadID="7608" />

<Channel>Microsoft-Windows-User Device Registration/Admin</Channel>

<Computer>GOMRANGSSENI</Computer>

<Security UserID="S-1-5-21-4271061264-475970230-2229458837-1002" />

</System>

<EventData>

<Data Name="Message">Business용 Windows Hello 프로비저닝이 시작되지 않습니다.</Data>

<Data Name="DeviceIsJoined">Not Tested</Data>

<Data Name="AADPrt">No</Data>

<Data Name="NgcPolicyEnabled">Not Tested</Data>

<Data Name="NgcPostLogonProvisioningEnabled">Not Tested</Data>

<Data Name="NgcHardwarePolicyMet">Not Tested</Data>

<Data Name="UserIsRemote">Yes</Data>

<Data Name="LogonCertRequired">Not Tested</Data>

<Data Name="MachinePolicySource">none</Data>

</EventData>

</Event>

6. 오전 8:13:42에 일어난 오류입니다.

로그 이름:         Application

원본:            Application Error

날짜:            2021-04-04 오전 8:13:42

이벤트 ID:        1000

작업 범주:         (100)

수준:            오류

키워드:           클래식

사용자:           해당 없음

컴퓨터:           GOMRANGSSENI

설명:

오류 있는 응용 프로그램 이름: RtkAudUService64.exe, 버전: 1.0.354.1, 타임스탬프: 0x5ffd410d

오류 있는 모듈 이름: ntdll.dll, 버전: 10.0.19041.844, 타임스탬프: 0x60a6ca36

예외 코드: 0xc0000374

오류 오프셋: 0x00000000000fef89

오류 있는 프로세스 ID: 0x2fcc

오류 있는 응용 프로그램 시작 시간: 0x01d728dee38d2cd9

오류 있는 응용 프로그램 경로: C:\Windows\System32\DriverStore\FileRepository\realtekservice.inf_amd64_3d345565ec73a109\RtkAudUService64.exe

오류 있는 모듈 경로: C:\Windows\SYSTEM32\ntdll.dll

보고서 ID: 75603044-6295-4b44-9834-5cf152c54158

오류 있는 패키지 전체 이름:

오류 있는 패키지에 상대적인 응용 프로그램 ID:

이벤트 Xml:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

<System>

<Provider Name="Application Error" />

<EventID Qualifiers="0">1000</EventID>

<Version>0</Version>

<Level>2</Level>

<Task>100</Task>

<Opcode>0</Opcode>

<Keywords>0x80000000000000</Keywords>

<TimeCreated SystemTime="2021-04-03T23:13:42.7195411Z" />

<EventRecordID>1740</EventRecordID>

<Correlation />

<Execution ProcessID="0" ThreadID="0" />

<Channel>Application</Channel>

<Computer>GOMRANGSSENI</Computer>

<Security />

</System>

<EventData>

<Data>RtkAudUService64.exe</Data>

<Data>1.0.354.1</Data>

<Data>5ffd410d</Data>

<Data>ntdll.dll</Data>

<Data>10.0.19041.844</Data>

<Data>60a6ca36</Data>

<Data>c0000374</Data>

<Data>00000000000fef89</Data>

<Data>2fcc</Data>

<Data>01d728dee38d2cd9</Data>

<Data>C:\Windows\System32\DriverStore\FileRepository\realtekservice.inf_amd64_3d345565ec73a109\RtkAudUService64.exe</Data>

<Data>C:\Windows\SYSTEM32\ntdll.dll</Data>

<Data>75603044-6295-4b44-9834-5cf152c54158</Data>

<Data>

</Data>

<Data>

</Data>

</EventData>

</Event>

Answer 1

안녕하세요. Ashivan님.

Microsoft Community를 이용해 주셔서 감사합니다.

우선 문의주신 내용 관련하여 Windows에서 어떤 특정 작업이나, 프로그램 사용 시 증상이 나타나는 것은 아닌지 확인이 필요한 점 참고 부탁드립니다.

만약, 어떤 특정 작업이나 프로그램 작업 시 증상이 나타나는 부분이라면 해당 부분은 타사 프로그램 또는 보안 및 백신 프로그램의 영향으로 인하여 나타나는 부분으로 하기 안내드리는 방법들을 통하여 점검을 해보시길 바랍니다.

작업 방법 1. 클린부팅

클린 부팅은 타사의 프로그램들을 배제하고 최적화된 Windows만 부팅을 하는 방법으로 타사 프로그램과의 충돌이거나 타사 프로그램 작동에 의해서 발생된 경우 클린 부팅 방법으로 체크를 하실 수 있습니다

1. Windows 로고키 + R 을 눌러 실행창을 열고, msconfig 라고 입력 후확인을 클릭합니다.
2. 시스템 구성창이 뜨면 서비스탭을 열고 하단의 모든 Microsoft 서비스 숨기기 를 체크한 후 화면 우측에모두사용안함을 체크합니다.
3. 적용 - 확인을 클릭한 후에 시스템구성창이 뜨면 다시시작하지 않고 끝내기를클릭합니다.
4. 다시 시스템구성창을 실행 후 상단의 시작 프로그램 탭으로 이동하여 작업 관리자 열기 를 누릅니다.
5. 확인되는 목록 중 상태가 사용 으로 되어 있는 항목을 선택 하여 우측 하단 사용 안 함 버튼을 클릭 합니다.

작업이 완료 되면 컴퓨터를 다시 시작 합니다.

작업 방법 2. 보안 프로그램 제거

1. Windows 10 기준으로 왼쪽 하단 검색 상자에 제어판을 검색합니다.
2. 창을 띄워준 뒤 프로그램 제거 또는 프로그램 및 기능으로 이동 합니다.
3. 우측 상단의 조그마한 검색 상자에 하기 보안 프로그램들을 순차적으로 검색 후 일치하는 항목이 있으면 제거 합니다.

※ 제거 후 재부팅 메시지가 나타날 때 진행하지 마시고, 목록에 있는 프로그램을 모두 검색 후 가장 마지막에 재부팅을 진행해줍니다.

문서 보안 프로그램 (DRM) : Fasoo.com, Document-Safer, Mark-Any, SoftCamp, McAfee, Nasca , NSD 5.00, nProtect, Touchen, WIZVERA, iniLINE 등

백신, 프록시 또는 방화벽 프로그램: AhnLab, Kaspersky, Norton Internet Security, Sygate Personal Firewall, Freedom Internet Security, My Firewall, V3, 알약, Malwarebyte 등

재부팅 후 증상을 다시 확인합니다.

추가적으로 현재 문의주신 일반 커뮤니티에서는 이벤트 로그 분석은 따로 도움 드리기 어려운 부분이라 이벤트 로그에 대한 분석을 원하시는 경우에는 IT 전문 포럼인 DOCS를 통해 문의주시길 부탁드립니다.

많은 어려움으로 불편을 겪으셨을 것으로 생각되며 조금이나마 도움이 되시길 바랍니다. 추가 문의가 있으시다면 [응답] 버튼을 눌러 질의를 부탁드립니다.

감사합니다.