这类病毒一样平常不熏染其它的正常可执行文件，它会像正常的软件一样 "安装 "在系统中，只不过"安装"历程是隐秘的。它们一样平常会更改系统配置文件及注册表：　　一、更改系统的相关配置文件(这种情形主要是针对 95/98/me系统)。　　病毒可能会更改 autoexec.bat，只要在其中加入执行病毒程序文件的语句即可在系统启动时自动激活病毒。　　更改 drive:windowswin.ini或者 system.ini文件。病毒通常会在win.ini的"run="后面加入病毒自身的文件名，或者在 system.ini文件中将 "shell="更改。　　二、更改注册表健值。　　现在，只要新出的蠕虫 /特洛伊木马类病毒一样平常都有修改系统注册表的动作。它们修改的位置一样平常有以下几个地方：　　HKLMSoftwareMicrosoftwindowsCurrentVersionRunOnce　　说明：在系统启动时自动执行的程序　　HKLMSoftwareMicrosoftwindowsCurrentVersionRunServices　　说明：在系统启动时自动执行的系统服务程序　　HKLMSoftwareMicrosoftwindowsCurrentVersionRun　　说明：在系统启动时自动执行的程序，这是病毒最有可能修改 /添加的地方。例如：Worm.Netsky.h病毒将增添：HKLMSoftwareMicrosoftwindowsCurrentVersionRun"antivirus"="WINDIRmaja.exe -antivirus service"　　HKCUSoftwareMicrosoftwindows NTCurrentVersionwindowsrun　　说明：此键值相当于在 Win.ini的 "run="加入病毒自身文件名，能使在系统启动时自动激活病毒。　　HKLMSoftwareMicrosoftwindows NTCurrentVersionWinlogonShell　　说明：此键值相当于在 System.ini的 "shell="加入病毒自身文件名，能使在系统启动时自动激活病毒。　　HKEY_CLASSES_ROOTexefileshellopencommand　　说明：此键值能使病毒在用户运行任何 EXE程序时被运行，即文件关联键值。以此类推，..txtfile..或者..comfile.. 也可被更改，以便实现病毒自动运行的功效。　　另外，有些键值还可能被行使来实现对照稀奇的功效：　　如有些病毒会通过修改下面的键值来阻止用户查看和修改注册表：　　HKCUSoftwareMicrosoftwindowsCurrentVersionPolicies　　SystemDisableRegistryTools =　　从以上键值找出可疑文件文件名，然后通盘查找这些文件作为附件上报。　　2、指导型病毒　　计算机硬盘或者软盘指导区可能被病毒熏染，而已有的杀毒软件不能检测出来，或检测出有病毒而不能消灭，这种情形下，请用户提取指导型病毒样本：　　方式一、使用瑞星 DOS杀毒工具提取　　之一步：用瑞星光盘或瑞星 DOS盘启动计算机;　　第二步：在瑞星DOS杀毒软件界面实用工具选项卡中，选择提取硬盘指导区信息，随即弹出窗口提醒用户插入软盘，选择确定即可更先提取硬盘指导区信息到软盘中;　　第三步：您可以将保留有硬盘指导区信息的软盘寄送到瑞星公司，或者把软盘中的指导区信息文件作为附件上报。　　方式二、使用指导区信息提取工具提取　　之一步：到瑞星网站下载指导区信息提取工具http://it.rising.com.cn/service/technology/Getboot_download.htm并拷贝到一张软盘中;　　第二步：用瑞星光盘或其他清洁的系统盘启动计算机;　　第三步：将拷贝了指导区信息提取工具的软盘插入软盘驱动器，并按如下花样运行　　下令花样： GETBOOT Drive　　花样说明： Drive指待提取信息的磁盘驱动器名，在 GETBOOT之后需要输入一个空格。　　附：　　举例一：提取 A驱动器软盘指导区的信息到 Boot.dmp文件，文件保留在 A盘的操作下令　　A:GETBOOT A:　　举例二：提取硬盘指导区的信息到 Boot.dmp和 Mbr.dmp两个文件，文件保留在 A盘上，操作下令　　A:GETBOOT C:　　第四步：您可以将保留有硬盘指导区信息的软盘寄送到瑞星公司，或者把软盘中的指导区信息文件作为附件上报。　　3 、宏病毒类　　1 )可直接将 Word、 Excel、 PowerPoint的模板文件 (Word 为 Normal.dot、 Excel位于xlStart 目录下所有文件 )拷贝下来即可，可以用查找方式找到，然后作为附件上报。　　2 )使用瑞星杀毒软件扫描时讲述有“ Unkown Macro Virus”病毒名(即未知宏病毒)的文件，作为附件上报。　　4 、电子邮件病毒　　收到可疑的电子邮件，如包罗附件是： .exe、 .com、 .scr、 .pif、.lnk、.bat等的特殊邮件，请用户将这封邮件(含其附件)作为附件上报。　　5 、熏染文件的病毒(文件型)　　此类病毒在dos/Win3x时代是最常见的，现在已经不是很常见了。此类病毒最显著的特征是将自身代码加入到正常文件中，因此一样平常情形下(也有特例，使用压缩功效将代码放置于文件的冗余处使得文件长度稳定)受熏染的文件字节长度会增添。　　简朴的判断方式是与正常的系统文件举行对照，字节增添的就是可疑文件。若是不放心可使用系统自带的对照下令"fc.exe"举行对照：　　例如：将可疑的 notepad.exe文件改名为notepad-vir.exe，再将此文件与正常的notepad.exe文件放在同一个目录中，执行： fcnotepad-vir.exenotepad.exe若是差别，则会提醒两个文件的差别代码位置;若是相同，则会提醒“找不到相异处”。　　6 、剧本/恶意代码类　　1)此类病毒许多行使 ie破绽举行流传，一样平常都是 .js、 .htt、 .as、 .vbs、 .htm、.html、.asp等类型文件。好比 redlof(红色结束符病毒)更改系统的folder.htt文件。这类病毒有的会更改内陆的网页文件(asp，htm，php等)，一样平常会在正常文件后部增添剧本代码。找到这些被修改的网页文件作为附件上报。