Вы находитесь на странице: 1из 13

El misterioso archivo SVCHOST.

exe
El archivo Svchost.exe se encuentra en la carpeta C:\WINDOWS\system32\svchost.exe en Windows XP y C:\WINNT\system32\svchost.exe en Windows 2000. Al iniciarse, Svchost.exe comprueba la parte de servicios del Registro para elaborar la lista de servicios que necesita cargar. Se pueden ejecutar mltiples instancias de Svchost.exe al mismo tiempo. Cada sesin de Svchost.exe puede contener un conjunto de servicios, para que se puedan ejecutar servicios autnomos, en funcin de cmo y cundo se inici Svchost.exe. Esto permite un control mejor y una depuracin ms sencilla. Los grupos Svchost.exe estn identificados en la siguiente clave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svcho st Cada valor contenido en esta clave representa un grupo Svchost distinto y se muestra como un ejemplo independiente cuando se consultan los procesos activos. Cada valor es un valor REG_MULTI_SZ que contiene los servicios que se ejecutan en el grupo Svchost. Cada grupo Svchost puede contener uno o varios nombres de servicio que se extraen de la siguiente clave del Registro, cuya clave Parmetros contiene un valor ServiceDLL: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Nombre del Servicio Por esta razon, suele aparecer varias veces en la lista de procesos en ejecucion. Para ver la lista de servicios que se ejecutan en Svchost y los otros procesos: 1. Haga clic en el botonInicio en la barra de tareas de Windows y, a continuacin, en Ejecutar. 2. En el cuadro de dilogo Abrir, escriba CMD y, a continuacin, presione la tecla Enter. 3. Ahora en la ventana de la consola de comandos, escriba:
Tasklist /SVC

... y a continuacin, presione Enter. Te aparecer un listado de los procesos activos y los servicios del sistema asociados con dichos procesos "si los hay" (en caso contrario muestra N/D, no disponible). Tasklist muestra una lista de los procesos activos. El modificador /SVC muestra la lista de servicios activos para cada proceso.

Si tienes Windows XP Professional y quieres obtener ms informacion sobre los servicios que el proceso SVCHOST est ejecutando en estos momentos haz esto: 1. Haga clic en el botonInicio en la barra de tareas de Windows y, a continuacin, en Ejecutar. 2. En el cuadro de dilogo Abrir, escriba CMD y, a continuacin, presione la tecla Enter. 3. Ahora en la ventana de la consola de comandos, escriba:
tasklist /svc /fi "imagenameeq svchost.exe"

... y a continuacin, presione Enter. En este caso se mostrarn slo los procesos SVCHOST.exe y sus servicios asociados. Y la respuesta a la tpica pregunta de si hay que cerrar o eliminar el proceso SVCHOST, NO! no hay que tocarlo, este programa es importante para estabilidad y seguridad de su sistema y no deberia ser terminado. Uso de recursos del sistema Uso de memoria: SVCHOST.EXE puede llegar a ocupar hasta unos 60MB de la memoria de sistema. SVCHOST.EXE puede aparecer listado en la lista de procesos muchas veces por cada servicio que ste tenga activos. Uso de procesador: El uso de procesador por parte de SVCHOST.EXE no debe ser mas de 20% en algunos casos, (en mi caso personal en este momento solo un 0%) ste uso de CPU no debe ser permanente, o sea no debe ocupar CPU en todo momento a menos que en tu sistema se est ejecutando alguna aplicacion de red crtica que siginifique el uso de todos estos recursos en todo momento, si no es as, sospecha de que estas siendo atacado externamente por algun bicho que aprovecha la vulnerabilidad RPC. (ms abajo) SVCHOST, los puertos que abre y su configuracion con Firewalls Como vimos anteriormente, SVCHOST.exe puede aparecer varias veces cargado en el sistema, de hecho, mientras escribo ste artculo, SVCHOST.exe aparece en la lista de procesos 6 veces, ocupando algo as como 45MB de memoria, este aparece cargando los servicios DcomLaunch, TermService, RpcSs,AudioSrv, Browser, CryptSvc, Dhcp, dmserver, ERSvc, EventSystem, FastUserSwitchingCompatibility, helpsvc, HidServ, lanmanserver, lanmanworkstation, Netman, Nla, rasAuto, RasMan, Schedule, seclogon, SENS, SharedAccess, ShellHWDetection, Tapisrvc, Themes, trkWks, winmgmt, wscsvc, wuauserv, WZCSVC, LmHosts, SSDPSRV, upnphost, WebClient, stisvc y HTTPFilter, pero, como si fuera poco, si tienes un Firewall, y alguna vez has visto listados los puertos

que el proceso SVCHOST.exe tiene para s, encontraras que SVCHOST.exe es el responsable de tener abiertos varios puertos del sistema. "SVCHOST.exe no solo es el responsable de cargar varios servicios, tambien abre numerosos puertos de conexion a nuestro sistema."

En mi caso, SVCHOST.exe tiene abiertos los siguientes puertos: Con protocolo TCP: 135 y 2869 Con protocolo UDP: 53, 1035, 1036, 1900, 2030 y 3031 Cuando estes en busca de procesos maliciosos como Adware, software espa, etc, puedes confiar en que los puertos abiertos relacionados con SVCHOST.exe no han sido abiertos con mala intencion. Claro que ataques externos en contra de esos puertos (por ejemplo: Ataques a Llamadas a Procedimiento Remoto RPC "callRPCattacks" en contra del puerto 135) no se pueden descartar. En el mundo de los Firewalls, al proceso del archivo SVCHOST.exe, se le conoce como [GENERIC HOST PROCESS FOR WIN32 SERVICES]. La mayora de los Firewalls traen reglas predefinididas cuando las conexiones son de salida, pero cuando hay peticiones entrantes, toca definir dos reglas: Si el protocolo es TCP Si la conexion es de tipo ENTRADA BLOQUEAR Si el protocolo es UDP Si la conexion es de tipo ENTRADA BLOQUEAR Hay casos raros, muy raros... en que las reglas predefinidas de conexiones de salida no son suficientes, si este es su caso, (si experimenta momentos en que el Firewall le pregunta sobre que una aplicacion solicita conexion de salida usando protocolo TCP), convendra definir esta regla: Si el protocolo es TCP Si la conexion es de tipo SALIDA BLOQUEAR Ataques a tu sistema mediante RPC El Proceso Archivo SVCHOST consume 100% CPU Si experimentas problemas de lentitud, y notas que el proceso SVCHOST.exe est

consumiendo recursos de CPU de forma excesiva y sin control, es muy probable que estes siendo objeto de ataques mediante la vulnerabilidad conocida del RPC. Mediante dicha vulnerabilidad, existen y continuan apareciendo infinidad de bichos que aprovechan este agujero para insertarse en tu sistema y empezar a hacer todo tipo de travesuras, bicho que normalmente se conoce como msblaster o alguna mutacion. Si crees estar siendo vctima del MS Blaster o alguna de sus miles de mutaciones: Inmediatamente ve descargando e instalando los dos parches para el Agujero del LSASS y el RPC/DCOM Cuando los instales, reinicias, te conectas a Internet y compruebas si el uso de CPU del archivo SVCHOST.EXE es ahora normal. Si no lo es, y notas que continua igual que antes, entonces publica el registro detallado de las aplicaciones de tu sistema usando la aplicacion, HIJACKTHIS.

IMPORTANTE: Si lo que tienes es el gusano, con el antivirus NO BASTA, tienes que parchear el error (con el parche RPC, que corrige el agujero de una vez por todas) porque existen infinidad de bichos que aprovechan ese agujero pero que utilizan otro nombre, por lo que si el Antivirus no es tan potente, desconocer las nuevas mutaciones. Para tener claro...
y y y y y

El archivo se llama SVCHOST.exe, no confundir con virus que se hacen llamar SVHOST.exe o SVCSHOST.exe, etc. Este archivo SVCHOST.exe slo debe aparecer en Windows 2000 y XP. Su ubicaciondebeserC:\WINDOWS\system32\svchost.exe en Windows XP y C:\WINNT\system32\svchost.exe en Windows 2000. No importa si SVCHOST.EXE aparece repetido varias veces en la lista de procesos, esto es normal. SVCHOST.EXE puede llegar a ocupar hasta unos 60MB de la memoria de sistema. Solo preocpate si el uso de procesador por parte de SVCHOST.EXE es excesivo, no debe ser mas de 20% en algunos casos. (en mi caso personal solo un 1%) El uso del CPU es aleatorio y circunstancial, no debe ocupar CPU en todo el momento, si es as, sospecha de que estas siendo atacado externamente por algun bicho que aprovecha la vulnerabilidad RPC

Qu es y para que sirve el archivo Pagefile.sys Este archivo es muy especial y lo usa Windows para almacenar temporalmente datos los cuales son intercambiados entre la memoria RAM y ste, con el fin de disponer de un bloque mas grande de memoria, a sta se le conoce como MEMORIA VIRTUAL

El nombre del archivo es pagefile.sys y se crea en el momento de la instalacin de Windows en la unidad raiz (normalmente C:\) donde se encuentra el boot del sistema y sus atributos son de oculto. El archivo pagefile.sys normalmente no se deberia poder ver en el explorador de Windows, a menos que hayas desactivado la opcion "Ocultar archivos protegidos del sistema". El tamao de archivo pagefile.sys normalmente es 1.5 veces mas grande que la memoria RAM del sistema. (Por ejemplo, si tienes 1GB de RAM, el archivo deberia pesar algo como 1.5GB, si tienes 256MB, el archivo deberia pesar algo como 384B, y as, etc.) Como optimizar y cual es la mejor ubicacion del archivo Pagefile.sys Algunos tips que deberias tener en cuenta para manejar mucho mejor ese archivo: 1. Evite crear o tener un archivo pagefile.sys en el mismo disco duro donde se encuentran los archivos del sistema operativo. Esto se logra teniendo dos discos duros, si tienes Windows en C:\, puedes configurar un solo archivo pagefile.sys ubicado en la primera particion del segundo disco duro, por ej: D:\ 2. No crees archivos pagefile.sys en varias particiones en el mismo disco duro, solo necesitas crear una rchivopagefile.sys en una sola particion. 3. No crees archivos pagefile.sys en discos duros espejo (backup) en particiones RAID-5 As pues bastar con crear nicamente un archivo pagefile.sys en el sistema. Como crear establecer un archivo pagefile.sys? Se puede configurar individualmente un archivo pagefile.sys en cada unidad que deseemos como se indica a continuacin: 1. Click derecho sobre "Mi PC" y Click en "Propiedades" Click en el boton "Inicio" >Click en "Panel de Control" > Doble Click en el icono "Sistema" 2. Ahora click en la pestaa "Opciones avanzadas" (Windows XP) | "Avanzado" (Windows 2000) 3. Debajo de la seccion "Rendimiento" click en el boton "Configuracion" (Windows XP) | click en "Opciones de rendimiento" (Windows 2000) 4. Ahora click en la pestaa "Opciones avanzadas" (Slo Windows XP) 5. En la seccion "Memoria virtual" click en el boton "Cambiar" 6. Como deciamos anteriormente, recomendamos un solo archivo pagefile.sys. Asegrate de que solo se haya configurado un archivo pagefile.sys:

En la parte de arriba aparecen listadas las unidades de disco disponibles, para ver si tienen un archivo pagefile.sys configurado, bastara con seleccionar una unidad, y ver si algunas de las siguientes opciones estan marcadas (Windows XP): [] Tamao personalizado (Manualmente puedes configurar el tamao del archivo pagefile.sys en la unidad seleccionada) [] Tamao administrado por el sistema (Se configura automaticamente) Recomendado! [] Sin archivo de paginacin (La unidad de disco seleccionada no tiene el archivo pagefile.sys) En Windows 2000, solo est disponible la opcion de establecer manualmente el mnimo y el mximo. Removiendo / Eliminando un archivo Pagefile.sys En WindowsXP, si quieres modificar esto, por ejemplo, remover borrar el archivo pagefile.sys de C:, marca la unidad C:, a continuacion selecciona la opcion [] Sin archivo de paginacin y finalmente click en el boton "Establecer" Windows quitar el archivo "pagefile.sys" de la unidad seleccionada en el siguiente reinicio. En Windows 2000, para remover borrar el archivo pagefile.sys de C:, marca la unidad C:, a continuacion entra los valores "0" a cada una de las casillas, de Tamao inicial y tamao Mximo y finalmente click en el boton "Establecer" Windows quitar el archivo "pagefile.sys" de la unidad seleccionada en el siguiente reinicio. Nota: En windows 2000, si NO existe archivo de paginacin, te saldr una ventana de aviso avisndote esto en cada reinicio. Pagefile.sys Estableciendo un archivo Pagefile.sys Para crear un archivo "pagefile.sys", por ejemplo, en D:, marca la unidad D:, a continuacion selecciona la opcion [] Tamao administrado por el sistema y finalmente click en el boton "Establecer" Windows crear el archivo "pagefile.sys" en la unidad seleccionada en el siguiente reinicio. Nota: No se recomienda establecer un tamao personalizado manualmente, a menos que sepa lo que hace. PARATENERENCUENTA

Por lo general, Windows solo configura un archivo de paginacin pagefile.sys por cada unidad de disco duro. As que si nuestra unidad de disco tiene dos o mas particiones, Windows slo crea un archivo pagefile.sys normalmente en la primera particion, ej: C:\ Si tienes dos discos duros, Windows crear otro archivo pagefile.sys en la primer particion del segundo disco duro, y as sucesivamente. Mi sistema puede funcionar sin un archivo pagefile.sys? Respuesta sencilla Hmmm, la respuesta es SI. SI, si tu sistema posee la suficiente memoria RAM como para no preocuparte cuando estes ejecutando el mximo de aplicaciones y realizando la mayor cantidad de tareas en un dia de maximo trabajo. Si posees por ejemplo 2GB o mas, puedes probar haber como trabaja tu sistema. Ahora, como recomendacion profesional, NO, NO recomiendo que dejes el sistema sin ningn archivo pagefile.sys, tu sistema puede llegar a necesitar algo de memoria extra en algun momento, y al no poder usar la memoria VIRTUAL quizs pueda provocar algn tipo de crash (congelamiento) del sistema, as que estas advertid@. Muchas cosas dejaran de funcionar si lo eliminas y muchos fabricantes crean software basndose en que dicho archivo existe en el disco duro, y adems Windows XP no utiliza el archivo hasta que lo necesita con lo que no obtendrs ningn beneficio eliminndolo. Nota: En windows 2000, si NO existe archivo de paginacin, te saldr una ventana de aviso avisandote esto en cada reinicio. Respuesta tcnica Debido a que la Memoria Virtual siempre est en operacin, no puede apagarse. Lo cual traduciria en "decirle al sistema que NO use espacio de archivo de paginacin en ningun momento" Esto podra provocar un consumo excesivo de memoria RAM. La razon es que cuando los programas piden por un espacio en la memoria virtual, estos normalmente solicitan ms espacio del que normalmente usan - el total podra llegar a algunos cientos de megabytes. Esas direcciones de espacio tienen que asignarse en algun lugar por el sistema. Si existe un archivo de paginacin disponible, el sistema entonces asignar espacio en l a estas solicitudes - pero si no lo hay, entonces asignar espacio en direcciones de la memoria fsica RAM, bloqueando el acceso a estas direcciones RAM por parte del sistema (si algun programa necesita RAM, y esta est toda ocupada, pues no se podr ejecutar el programa) As pues, por mas que tengas memoria RAM, es mejor tener disponible memoria virtual. Puedo ver el tamao que est usando actualmente el archivo pagefile.sys? Asegrate de tener activadas las opciones:

Ver los archivos ocultos del sistema y las extensiones de archivos en Windows 2000/XP 1. 2. 3. 4. 5. Abra una ventana del Explorador de Windows Click en el men Herramientas>Opciones de carpeta Click en la pestaa Ver Ahora busque y marque la opcion "Mostrar todos los archivos y carpetas ocultos" Ahora ms abajo busque la opcion "Ocultar las extensiones para tipos conocidos de archivo" y desmrquela 6. Tambien desmarque la opcion "Ocultar archivos protegidos del sistema operativo" 7. Click en Aceptar Ahora ya podrs ver el archivo "pagefile.sys" y el tamao que tiene. Navega por las distintas unidades y verifica su existencia. En que sistemas Windows debera aparecer el archivo pagefile.sys? En Windows 2000, Windows XP y Windows 2003 Como borrar el archivo Pagefile.sys ? El archivo pagefile.sys es necesario en el sistema y no deberias intentar borrarlo. Mientras Windows se est ejecutando el archivo pagefile.sys est protegido por lo que te ser imposible borrarlo. Problemas conocidos de Pagefile.sys ? Sntoma: Al iniciar el antivirus (nod32) sale el error: "C:\pagefile.sys - Error abriendo archivo (El archivo esta bloqueado)(4)" Solucin: El NOD32 debido a la heurstica que posee encuentra el archivo pagefile.sys y lo intenta escanear, pero al ser un archivo del sistema, est protegido (y en uso por supuesto) por lo que le es imposible escanearlo, as que es normal y no hay de preocuparse. Sntoma: El archivo pagefile.sys se ha daado, posiblemente por un apagado anormal. Solucin: Vaya a la configuracion de la Memoria virtual, y fije como "0" o como "Sin archivo de

paginacin" en la unidad donde se encuentra el pagefile.sys, entonces acepta y sal de ah, apaga el computador y reinicia. Ve a donde se encuentra fsicamente el archivo "pagefile.sys" y brralo (si existe)(en cada unidad, si existen otras ademas de C:), ahora vuelve a configurar la memoria virtual (esto creara otro nuevo y correcto pagefile.sys) en las unidades que elijas. Windows 98 y ME tienen archivo Pagefile.sys ? NO. En Windows 98 y ME, el archivo de intercambio se llama WIN386.SWP y est localizado en c:\windows\win386.swp Sus funciones son las mismas que el pagefile.sys en Windows 2000 y XP. Recursos:

-Libreras

D L L-

Qu son los archivos DLL? Un archivo DLL (Dynamic Library Link) es un mdulo componente de un programa que ejecuta alguna funcin. Estos archivos DLL son muy tiles, pero tambin suelen ser causa de errores en Windows. Los archivos DLL ejecutan acciones o rutinas de uso frecuente en Windows, y un mismo archivo DLL puede ser usado por varios programas al mismo tiempo (como el Kernel32.dll). Por ejemplo el procesador de palabras, la hoja de clculo y otros programas pueden usar un mismo archivo DLL para desplegar el cuadro dilogo Abrir, cada vez que usted usa el comando Abrir. Gracias a ese esquema modular (que tambien se usa en el sistema operativo OS/2), hay muchas funciones que los creadores de software no tienen que incluir en sus programas; cuando un programa necesita enviar un documento a la impresora, simplemente llama el archivo DLL respectivo (que ya Windows instal) para que este cargue y ejecute la tarea. De esa forma, los programas son ms pequeos y se ahorra espacio en el disco duro. El hecho de que estos mdulos de rutinas (Archivos DLL) no sean parte de programas, sino que se guardan como archivos independientes, tambin optimiza el uso de la memoria RAM. Un DLL se carga en la memoria RAM y se ejecuta nicamente cuando un programa lo llama para que realice una funcin, mientras que otros mdulos de rutinas que s hacen parte del programa permanecen cargados en la memoria mientras trabaja con un programa.

Windows incluye muchos archivos DLL que son usados por otros programas (la mayora en la carpeta c:\windows\system). Pero algunos programas tambin instalan sus propios archivos DLL (y generalmente los colocan en la carpeta del disco duro en la que est guardado dicho programa). Observaciones en el manejo de DLL Como diferentes programas deben compartir los mismo DLL, si algunos programas no respetan ciertas reglas del juego se pueden producir errores. A veces uno instala programas que colocan una versin vieja de un archivo DLL en la carpeta c:\windows\system y remplazan -sin avisar- la versin ms reciente del mismo DLL. Al hacer eso, es posible que se produzcan fallas en los programas que usaban la versin ms reciente del DLL. Nota: En Windows XP no es posible reemplazar un archivo dll del sistema, ya que este se dar cuenta y automaticamente copiara el DLL correcto de su base de datos, Windows XP se protege de esta manera para evitar conflictos. No todos los archivos DLL tienen extensin .dll; tambien hay archivos del mismo tipo con extensiones .ocx, .exe, .drv, .vxd, etc.

Cuando Windows le muestre un mensaje de error que dice que le falta un DLL, anote el nombre exacto del archivo (incluyendo la extensin), busque el archivo en cualquiera de los sitios que al final se recomiendan, bjelo y copilo en la carpeta en la que lo est buscando el programa que gener el mensaje de error (probablemente c:\windows\system o la carpeta en la que est almacenado el programa). Tenga en cuenta que puede haber versiones diferentes de Archivos DLL, pero con un nombre idntico. Se recomienda no remplazar un DLL por una versin ms vieja (para saber que versin tiene un DLL, busque el archivo, d click derecho sobre l, seleccione propiedades y de click en la pestaa Versin). Lo mejor es que siempre guarde en un diskette o alguna parte de sus disco duro el DLL que va a reemplazar (incluso aunque sea de una versin ms vieja). Uno nunca sabe qu programa lo pueda necesitar. Windows File Protection [WFP] Windows FIleProtection (WFP) protege los archivos DLL del sistema de ser actualizadas o borradas por agentes no autorizados. Las aplicaciones no pueden sustituir las DLLs del sistema. Unicamente los paquetes de actualizacion del sistema operativo com los SP (Service Packs) pueden hacer esto.

Los archivos DLL del sistema que pueden ser unicamente actualizadas por los Service Pack (SP) se denominan DLLs protegidas. Hay aproximadamente 2800 DLLs protegidas en Windows 2000 y XP. Si intentamos copiar un archivo DLL identico a uno protegido en el directorio del sistema, el reemplazo del archivo DLL, aparentemente, parecer que es correcta y no veremos ningun mensaje de error. Pero Windows 2000 y XP recuperarn el archivo DLL recientemente copiado con el archivo DLL original silenciosamente. WFP elimina completamente los errores de los archivos DLL y adems minimiza los problemas causados por instalacin y/o actualizacin de aplicaciones. System File Checker (sfc) Tip: Para comprobar que los archivos de tu sistema estan en perfecto estado y completos, ejecuta esta instruccion: En Windows XP: Ve a Inicio>Ejecutar y escribe esto "sfc /scannow" (sin las comillas).

DLL's Privadas Las DLLs privadas son DLLs que son instaladas con una aplicacin especfica y usadas solo por esa aplicacin. Por ejemplo, supongamos que yo soy el responsable de un programa llamada Wilkinsonpc.exe. Yo he 'testeado' ese programa con una versin x.x de la librera de Microsoft MSVCRT.DLL y una versin y.y de la SA.DLL (por ejemplo, SA.DLL no es una DLL de Microsoft, pero es una DLL de terceros distribuida con otras varias aplicaciones). Yo quiero asegurarme que mi programa Wilkinsonpc.exe siempre usar la MSVCRT.DLL versionx.x y la SA.DLL versiony.y. Para hacer esto, mi instalador del producto copia Wilkinsonpc.exe, MSVCRT.DLL versionx.x y SA.DLL versiony.y en la carpeta .\Wilkinsonpc. Ademas debo notificar a Windows 2000, que Wilkinsonpc.exe debe utilizar esas DLLs privadas y unicamente esas (esto no es posible con Windows 95/98 ME). Cuando Wilkinsonpc.exe se ejecuta en Windows 2000 XP, este va a mirar en la carpeta .\Wilkinsonpc para localizar las DLLs de version especfica antes de mirar en las carpetas del sistema y en el path. Los Service Packs futuros que actualizen al MSVCRT.DLL no harn fallar a la aplicacion debido a que Wilkinsonpc.exe no utiliza la version compartida de MSVCRT.DLL. Otras aplicaciones que instalen diferentes versiones de SA.DLL tampoco afectarn a Wilkinsonpc.exe debido a que este, tiene su versin privada de SA.DLL. Las DLLs privadas, se las denomina tambienDLLsunicas, debido a que utiliza una copia privada de esa DLL en lugar de la generica. Si ejecuitamos por ejemplos WordPad y Wilkinsonpc concurrentemente, dos copias de la MSVCRT.DLL sern cargadas en

memoria. Por tanto, como autores de la aplicacin, podriamos registrar cada DLL o componente de la aplicacion en el directorio de la aplicacion en donde queremos que resida la copia privada. Existe un segundo metodo que puede ser utilizado en aplicaciones ya existentes. Supongamos que c:\Wilkinsonpc\Wilkinsonpc.exe es una aplicacin existente y que la queremos proteger de futuras actualizaciones de DLLs o incluso de actualizaciones debidas a los Service Packs. Simplemente copiamos las DLLs que queremos que sean privadas a Wilkinsonpc.exe a la carpeta .\Wilkinsonpc y creamos un archivo vacio en ese directorio llamado Wilkinsonpc.exe.local. De esta maner el sistema sabe que cuando Wilkinsonpc.exe quiera cargar una DLL, debe buscarla siempre primero en donde est ese archivo .local y buscar por tanto las DLLs y servidores COM en dicho directorio antes que en el path especifico de Windows. Ambas soluciones, la version especfica (en nuevas aplicaciones) y .local (en viejas aplicaciones) tienen las siguientes caracteristicas:
y

Los archivos DLL que estn en el directorio de la aplicacin son cargados en lugar de los archivos DLL del sistema, an cuando la funcin "LoadLibrary" de la aplicacin tenga el camino 'hard-coded'. No es posible redirigir la 20 KnownDLLs (conocidas DLLs), que estn referenciadas en HKEY_LOCAL_MACHINE\SYSTEM\CurrentoControlSet\Control\SessionManager\KnownDL Ls. Estas no pueden rodar independientemente ya que necesitan mantener estados de procesos cruzados. Por ejemplo: kernel32, user32 y ole32 no pueden ser redirigidas debido a que tienen estados (objetos del kernel, manejadores de ventanas) que necesitan existir a lo largo de todos los procesos. En futuras versiones del sistema operativo estas limitaciones quedarn mas restringidas.

Como Agregar / Instalar o Quitar / Desregistrar archivos .dll .ocx ? Para agregar ciertos archivos .ocx y/o .dll, abra una ventana de comandos En Windows 98/ME: Vaya a Inicio>Ejecutar escriba esto "command.com" (sin las comillas) En Windows NT/2000/XP: Vaya a Inicio>Ejecutar escriba esto "cmd" (sin las comillas) Navegue a traves de los directorios hasta llegar a la carpeta que contiene el archivo DLL que desee instalar/registrar o desinstalar/desregistrar. El siguiente es el comando que necesitaras ejecutar para instalar/registrar:
regsvr32 [nombre.dll] [nombre.ocx] Ejemplo: regsvr32 msvcp60.dll

Para desinstalar/desregistrar un archivo DLL u OCX:


regsvr32 /u [nombre.dll] [nombre.ocx] Ejemplo: regsvr32 /u msvcp60.dll