Та же проблема, winXPSP3 без KB958644 сканировал Kaspersky Virus RemTool нашел .dll зараженный net-worm.kido.ep Удалить не смог. Запустил windows-KB 890830-v2.6.exe сканировал фулл сканом 2 часа но в итоге удалил Conficker.B. В реестре руками удалил в параметрах запуска svchost параметр с именем dll-ки, удалил драйверы с таким же именем. Вирус больше не находит. Система не работоспособна т.к. не запускается ничего кроме Avira Antivir Premium Guard, Dame Ware mini Remote Control, Plug and Play, Журнал событий, запуск серверных процессов DCOM, Поставщик поддержки безопасности NT LM. Закидывал в реестр ветку SYSTEM с другого аналогичного рабочего компа. Службы не запускаются. RPC Ошибка 5:отказано в доступе Все остальные 1608:Не удалось запустить дочернюю службу. Помогите пожалуйста.

mishanya85, Здравствуйте.
возможно удалено что-то лишнее и придется восстанавливать систему с установочного диска. Давайте проверим на наличие зловредов.
Скачайте DDS и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение
Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

просканировал... Теперь не знаю что и делать. Вирус похоже остался

В логах ничего из семейства kido не видно.
Вы точно так делали или лог экспресс-проверки приложили? Если логи быстрой проверки, то выполните полное сканирование.
Этот патч установлен? Судя по логу KB958644 не установлен. Если патч не установие, обязательно установите его.
Включите встроенный брандмауэр windows, запретите 445 и 139 порт (уберите в исключения общий доступ к файлам и принтерам), дополнительно воспользоваться утилитой wwdc, см. также здесь

Сделайте остальные логи по правилам

Скачайте SDFix здесь или здесь, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь, здесь или здесь

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (Удалить выделенные). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.
Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

KB958644 не устанавливается "диспетчеру установки не удалось проверить целосность файла update.inf. Убедитесь, что службы криптографии запущены на данном компьютере." Брандмауэр не запускается, служба остановлена, выключена, нет возможности запустить. SDfix просканировал перезагрузился, досканировал выдал отчет, что все нормально. Malwarebytes не запустился, ошибка."run-time error '372' Failed to load control 'vbalGrid' from vbalsgrid6.ocx. Your vesion of vbalsgrid6.ocx may be outdated. Make sure you are using the version of the control that was provided with your application. ComboFix запустил без консоли востановления, просканировал в логе ничего не увидел. Спасибо.

mishanya85, в секции ------- Sigcheck ------- лога combofix не сошлись сигнатуры многих системных файлов, это или сборка windows или кривой SP3 (не официальный) или зловред- патчер или файловый вирус, проверьте на virustotal.com выборочно файлы из секции Sigcheck лога combofix, например
E:\test.cmd - это у вас что? А так в логах ничего из семейства kido и остальных зловредов не видно
С помощью cureit и APPTool систему проверяли?
возможно удалено что-то лишнее и придется восстанавливать систему с установочного диска.
пуск - выполнить - sfc /scannow, потребуется установочный диск.
см. также Как выполнить обновление (переустановку) Microsoft Windows XP
Способ 2. Восстановление Windows XP при загрузке компьютера с компакт-диска Windows XP
Установите официальный WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com
После этого можете сделать логи по правилам

ещё вариант, можете попробовать выполнить откат на точку восстановления до самостоятельного лечения и попробуем удалить зловред правильно

Восстановление Службы криптографии: твик реестра
готовый reg файл

Попробуйте выполнить восстановление всех служб windows по умолчанию, посмотрите здесь

Восстановление всех служб не помогает, в реестре значения по умолчанию, после перезагрузки комп грузится минуты 2 и загружается без служб. Просканировал всеми антивирусами с последними обновлениями и ничего нет. Может есть у кого вирус который включает службы? Смущает лог KVRTool:
AVZ_CollectSysInfo> : завершен
-------------------------------
Запуск: 20.01.2009 12:17:53
Длительность: 00:00:55
Завершение: 20.01.2009 12:18:48


<AVZ_CollectSysInfo> : завершен
-------------------------------
Время Событие
----- -------
20.01.2009 12:17:54 Версия Microsoft Windows: Microsoft Windows XP, Build=2600, SP="Service Pack 2"
20.01.2009 12:17:54 Восстановление системы: включено
20.01.2009 12:17:55 1.1 Поиск перехватчиков API, работающих в пользовательском режиме
20.01.2009 12:17:55 Анализ kernel32.dll, таблица экспорта найдена в секции .text
20.01.2009 12:17:55 Функция kernel32.dll:CreateProcessA (99) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802367->61F03F42
20.01.2009 12:17:55 Перехватчик kernel32.dll:CreateProcessA (99) нейтрализован
20.01.2009 12:17:55 Функция kernel32.dll:CreateProcessW (103) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802332->61F04040
20.01.2009 12:17:55 Перехватчик kernel32.dll:CreateProcessW (103) нейтрализован
20.01.2009 12:17:55 Функция kernel32.dll:FreeLibrary (241) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AA66->61F041FC
20.01.2009 12:17:55 Перехватчик kernel32.dll:FreeLibrary (241) нейтрализован
20.01.2009 12:17:55 Функция kernel32.dll:GetModuleFileNameA (372) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B357->61F040FB
20.01.2009 12:17:55 Перехватчик kernel32.dll:GetModuleFileNameA (372) нейтрализован
20.01.2009 12:17:55 Функция kernel32.dll:GetModuleFileNameW (373) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B25D->61F041A0
20.01.2009 12:17:55 Перехватчик kernel32.dll:GetModuleFileNameW (373) нейтрализован
20.01.2009 12:17:55 Функция kernel32.dll:GetProcAddress (408) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AC28->61F04648
20.01.2009 12:17:55 Перехватчик kernel32.dll:GetProcAddress (408) нейтрализован
20.01.2009 12:17:55 Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->61F03C6F
20.01.2009 12:17:55 Перехватчик kernel32.dll:LoadLibraryA (578) нейтрализован
20.01.2009 12:17:55 >>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !!)
20.01.2009 12:17:55 Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->61F03DAF
20.01.2009 12:17:55 Перехватчик kernel32.dll:LoadLibraryExA (579) нейтрализован
20.01.2009 12:17:55 >>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
20.01.2009 12:17:55 Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->61F03E5A
20.01.2009 12:17:55 Перехватчик kernel32.dll:LoadLibraryExW (580) нейтрализован
20.01.2009 12:17:55 Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ACD3->61F03D0C
20.01.2009 12:17:55 Перехватчик kernel32.dll:LoadLibraryW (581) нейтрализован
20.01.2009 12:17:55 Обнаружена модификация IAT: LoadLibraryW - 00B70010<>7C80ACD3
20.01.2009 12:17:55 Анализ ntdll.dll, таблица экспорта найдена в секции .text
20.01.2009 12:17:55 Анализ user32.dll, таблица экспорта найдена в секции .text
20.01.2009 12:17:55 Анализ advapi32.dll, таблица экспорта найдена в секции .text
20.01.2009 12:17:55 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
20.01.2009 12:17:55 Анализ wininet.dll, таблица экспорта найдена в секции .text
20.01.2009 12:17:55 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
20.01.2009 12:17:55 Анализ urlmon.dll, таблица экспорта найдена в секции .text
20.01.2009 12:17:55 Анализ netapi32.dll, таблица экспорта найдена в секции .text
20.01.2009 12:17:56 1.2 Поиск перехватчиков API, работающих в привилегированном режиме
20.01.2009 12:17:56 Драйвер успешно загружен
20.01.2009 12:17:56 SDT найдена (RVA=08A500)
20.01.2009 12:17:56 Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
20.01.2009 12:17:56 SDT = 80561500
20.01.2009 12:17:56 KiST = 804E48B0 (284)
20.01.2009 12:17:59 Проверено функций: 284, перехвачено: 0, восстановлено: 0
20.01.2009 12:17:59 1.3 Проверка IDT и SYSENTER
20.01.2009 12:17:59 Анализ для процессора 1
20.01.2009 12:17:59 Проверка IDT и SYSENTER завершена
20.01.2009 12:18:00 1.4 Поиск маскировки процессов и драйверов
20.01.2009 12:18:00 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
20.01.2009 12:18:00 Драйвер успешно загружен
20.01.2009 12:18:00 1.5 Проверка обработчиков IRP
20.01.2009 12:18:00 Проверка завершена
20.01.2009 12:18:17 >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
20.01.2009 12:18:17 >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
20.01.2009 12:18:17 >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
20.01.2009 12:18:17 >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
20.01.2009 12:18:17 >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
20.01.2009 12:18:17 >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
20.01.2009 12:18:17 > Службы: набор применяемых на компьютере служб зависит от области его применения (домашний, компьютер в сети предприятия и т.д.)!
20.01.2009 12:18:17 >> Безопасность: разрешен автозапуск программ с CDROM
20.01.2009 12:18:17 >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
20.01.2009 12:18:17 >> Безопасность: к компьютеру разрешен доступ анонимного пользователя
20.01.2009 12:18:22 >> Отключить автозапуск с жестких дисков
20.01.2009 12:18:22 >> Отключить автозапуск с сетевых дисков
20.01.2009 12:18:22 >> Отключить автозапуск с CD-ROM
20.01.2009 12:18:22 >> Отключить автозапуск с съемных носителей
20.01.2009 12:18:23 Выполняется исследование системы...
20.01.2009 12:18:47 Исследование системы завершено
20.01.2009 12:18:47 Удаление файла:C:\Documents and Settings\Администратор\Рабочий стол\Virus Removal Tool\is-VH7S6\LOG\avptool_syscheck.htm
20.01.2009 12:18:47 Удаление файла:C:\Documents and Settings\Администратор\Рабочий стол\Virus Removal Tool\is-VH7S6\LOG\avptool_syscheck.xml
20.01.2009 12:18:47 Удаление службы/драйвера: uti1njg4
20.01.2009 12:18:47 Удаление файла:C:\WINDOWS\system32\Drivers\uti1njg4.sys
20.01.2009 12:18:48 Удаление службы/драйвера: uji1njg4
20.01.2009 12:18:48 Скрипт выполнен без ошибок

Очевидно, что вы не выполнили рекомендации поста 4
Ещё раз внимательно перечитайте пост 4 и 6
Если будете выполнять обновление (переустановку) Microsoft Windows XP и используете сборку, рекомендую обновлять сразу с лицензионного компакт диска windowsздесь скачивали и применяли reg файл для восстановления служб?
С помощью Dr.Web LiveCD пробовали проверять систему?