在C盘windows\system32\mrding.nls位置，发现w32/xor-encoded.A病毒，可是c盘没有mrding.nls文件，如何杀

退到安全模式杀毒 可以用360杀毒 杀 卡巴斯基 大蜘蛛 NOD32 杀毒都可以 在下个超级兔子清垃圾 个人感觉 瑞星不是很好 因为经常被病毒屏蔽 希望能帮助你

退到安全模式杀毒 可以用360杀毒 杀 卡巴斯基 大蜘蛛 NOD32 杀毒都可以 在下个超级兔子清垃圾

杀毒后 残留的 应为病毒删除了（他加入了启动项）

应该是一个广告木马

这是杀毒后的遗留问题，因为病毒开机会自启动，但是如果只是病毒文件被删除，而注册表里对应的病毒的启动项没有一并删除掉，电脑开机时还是会试图运行启动项里的程序，但是对应的病毒文件被删了，所以无法启动病毒程序，就弹出了这样的提示。 可以点击“开始”→“运行”，输入 msconfig 然后选择“启动”选项卡，把里面的所有项目的钩都取消掉，然后点确定，重启即可。

一定要断网，然后进入安全模式下删除C:\WINDOWS\system32\drivers\acpidisk.sys，c:\windows\system32\msmcskets.dll，c:\windows\system32\drivers\sptd.sys文件。然后清除系统的临时文件和ie缓存，因为这些文件都是以服务和加载到系统进程中的，要是不行的话就需要用冰刃强行卸载，然后删除C:\WINDOWS\System32\svchost.exe -k netsvcs-->D:\WINDOWS\system32 \MSMCSKETS.DLL ，还有个就是\SystemRoot\System32 \Drivers\sptd.sys以驱动加载，还要修复host表，最后就是进入注册表清理病毒的痕迹。

个安德夫木马下载器变种，断网后，用360 加上最新的杀毒软件的最新病毒库就可以搞定的，因为具体的需要具体分析的。这里就不说了 ，因为这个东西下载的木马是不一定的，还有就是可能出现的就是镜像劫持，这个你还是需要修改注册表才能搞定的，具体的是[HKEY_LOCAL_MACHINE\SOFTWARE