Подцепил conficker/kido, и начитавшись разных умных мыслей, и в итоге, сделал как написано у майкрософта в http://support.microsoft.com/kb/962007:
Поставил обновления. Создал групповую политику, применил, работает.
Почти все компы пролечились автоматом, остальные руками. Все почти в норме.
Но есть компы удаленных филиалов, которые работают в нашей сети. Они были заражены конфикером до ее примения.
Итог, конфикер на них есть, висит в памяти, в процесс svchost. Kidokiller и McAfee его видят, но прибить не могут. т.к разрешения на запись в svchost отключены.
Как сделать исключения в примении групповых политик только для одно компа, так чтоб у него появилась возможность записи в реестр?
Или есть другие методы, которыми можно включить запись в реестре?
Домен рулится Win 2003, а лечние нужно на 5 компах с Win XP Pro SP2 и 4 с Win 2000 PRO SP4.

Создать отдельный Organization Unit, перенести туда этот комп, прицепить к этому OU политику. В этой политике дать разрешения на реестр. Или настроить локальную политику, она применяется последней и должна перекрыть все ваши полики.
Если не ошибаюсь, то проядок применения политик такой:
1. Политика сайта
2. Default domain policy
3. Политика подраделения (Organization Unit) в которм ваш комп/пользователь.
4. Локальная политика.

А может проще запустить лечение на нужных компах от имени админа? насколько я помню в новой версии Kidokiller есть возможность невидимой проверки, ну и runas админ - и проблемы не будет.

artem_, ошибаетесь: Локальная политика применяется первой. Поэтому, если и создавать GPO, то в подразделении.

Создать отдельный Organization Unit »
а можно создать группу безопасности Kido_computers и применить GPO только на неё... предварительно введя заражённые компьютеры в эту группу.

В созданном OU поставить в свойствах групповой политики галку "Не перекрывать" (No override) и настроить по желанию.