1 、蠕蟲/特洛伊木馬類

這類病毒一般不感染其它的正常可執行文件，它會像正常的軟件一樣 "安裝 "在系統中，只不過 "安裝 "過程是秘密的。它們一般會更改系統配置文件及注冊表：

一、更改系統的相關配置文件（這種情況主要是針對 95/98/me系統）。

病毒可能會更改 autoexec.bat，只要在其中加入執行病毒程序文件的語句即可在系統啟動時自動激活病毒。

更改 drive:windowswin.ini或者 system.ini文件。病毒通常會在 win.ini的 "run="后面加入病毒自身的文件名，或者在 system.ini文件中將 "shell="更改。

二、更改注冊表健值。

目前，只要新出的蠕蟲 /特洛伊木馬類病毒一般都有修改系統注冊表的動作。它們修改的位置一般有以下幾個地方：

HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce
說明：在系統啟動時自動執行的程序

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
說明：在系統啟動時自動執行的系統服務程序

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
說明：在系統啟動時自動執行的程序，這是病毒最有可能修改 /添加的地方。例如： Worm.Netsky.h病毒將增加： HKLMSoftwareMicrosoftWindowsCurrentVersionRun"antivirus" = "%WINDIR%maja.exe -antivirus service"

HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsrun
說明：此鍵值相當于在 Win.ini的 "run="加入病毒自身文件名，能使在系統啟動時自動激活病毒。
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonShell
說明：此鍵值相當于在 System.ini的 "shell="加入病毒自身文件名，能使在系統啟動時自動激活病毒。

HKEY_CLASSES_ROOTexefileshellopencommand
說明：此鍵值能使病毒在用戶運行任何 EXE程序時被運行，即文件關聯鍵值。以此類推，..txtfile.. 或者 ..comfile.. 也可被更改，以便實現病毒自動運行的功能。

另外，有些鍵值還可能被利用來實現比較特別的功能：

如有些病毒會通過修改下面的鍵值來阻止用戶查看和修改注冊表：

HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies
SystemDisableRegistryTools =

從以上鍵值找出可疑文件文件名，然后全盤查找這些文件作為附件上報。

2、引導型病毒

計算機硬盤或者軟盤引導區可能被病毒感染，而已有的殺毒軟件不能檢測出來，或檢測出有病毒而不能清除，這種情況下，請用戶提取引導型病毒樣本：

方法一、使用瑞星 DOS殺毒工具提取

第一步：用瑞星光盤或瑞星 DOS盤啟動計算機；

第二步：在瑞星 DOS殺毒軟件界面選項卡中，選擇，隨即彈出窗口提示用戶插入軟盤，選擇即可開始提取硬盤引導區信息到軟盤中；

第三步：您可以將保存有硬盤引導區信息的軟盤寄送到瑞星公司，或者把軟盤中的引導區信息文件作為附件上報。

方法二、使用引導區信息提取工具提取

第一步：到瑞星網站下載引導區信息提取工具 http://it.rising.com.cn/service/technology/Getboot_download.htm并拷貝到一張軟盤中；

第二步：用瑞星光盤或其他干凈的系統盤啟動計算機；

第三步：將拷貝了引導區信息提取工具的軟盤插入軟盤驅動器，并按如下格式運行

命令格式： GETBOOT

格式說明：指待提取信息的磁盤驅動器名，在 GETBOOT之后需要輸入一個空格。

附：

舉例一：提取 A驅動器軟盤引導區的信息到 Boot.dmp文件，文件保存在 A盤的操作命令

A:GETBOOT A:

舉例二：提取硬盤引導區的信息到 Boot.dmp和 Mbr.dmp兩個文件，文件保存在 A盤上，操作命令

A:GETBOOT C:

第四步：您可以將保存有硬盤引導區信息的軟盤寄送到瑞星公司，或者把軟盤中的引導區信息文件作為附件上報。 

3 、宏病毒類

1 ）可直接將 Word、 Excel、 PowerPoint的模板文件 (Word 為 Normal.dot、 Excel 位于 xlStart 目錄下所有文件 )拷貝下來即可，可以用查找方式找到，然后作為附件上報。

2 ）使用瑞星殺毒軟件掃描時報告有“ Unkown Macro Virus”病毒名（即未知宏病毒）的文件，作為附件上報。

4 、電子郵件病毒

收到可疑的電子郵件，如包含附件是： .exe、 .com、 .scr、 .pif、 .lnk、 .bat等的特殊郵件，請用戶將這封郵件（含其附件）作為附件上報。

5 、感染文件的病毒（文件型）

此類病毒在 dos/Win3x時代是最常見的，現在已經不是很常見了。此類病毒最明顯的特征是將自身代碼加入到正常文件中，因此一般情況下（也有特例，使用壓縮功能將代碼放置于文件的冗余處使得文件長度不變）受感染的文件字節長度會增加。

簡單的判斷方法是與正常的系統文件進行比較，字節增加的就是可疑文件。如果不放心可使用系統自帶的比較命令 "fc.exe"進行比較：
例如：將可疑的 notepad.exe文件改名為 notepad-vir.exe，再將此文件與正常的 notepad.exe文件放在同一個目錄中，執行： fc notepad-vir.exe notepad.exe 如果不同，則會提示兩個文件的不同代碼位置；如果相同，則會提示“找不到相異處”。

6 、腳本/惡意代碼類

1）此類病毒很多利用 ie漏洞進行傳播，一般都是 .js、 .htt、 .as、 .vbs、 .htm、 .html、 .asp等類型文件。比如 redlof（紅色結束符病毒）更改系統的 folder.htt文件。這類病毒有的會更改本地的網頁文件（ asp,htm,php等），一般會在正常文件后部增加腳本代碼。找到這些被修改的網頁文件作為附件上報。

2 ）用瑞星殺毒軟件掃描時報告為 Unkown Script Virus（未知腳本病毒）的文件請作為附件上報。

3 ）如果瀏覽某網站后出現系統異常，用戶可以利用瑞星聽診器上傳提取的報告，并在郵件正文描述具體的計算機中病毒的現象。

在病毒已經激活的情況下，比較常見的病毒都可通過以上方法找到其樣本文件。

附：瑞星病毒上報地址：http://up.rising.com.cn/webmail/uploadnew.htm