Đây là bước quan trọng nhất cho các bước tiếp theo, vì không thể chữa trị nếu không biết hệ thống có bị nhiễm virus hay không, hay là nhiễm lọai virus nào. Việc tìm kiếm trước hết phải thực hiện trong bộ nhớ vì một khi virus thường trú nắm quyền điều khiển hệ thống sẽ dẫn đến sai lạc thông tin trong các tác vụ truy xuất đĩa tiếp theo. Sau đó mới tiến hành trên đĩa. Sự tồn tại của virus gắn liền với sự tồn tại của một vài dấu hiệu đặc biệt. Đối với virus macro và TF-Virus, việc quét bộ nhớ là không cần thiết cho nên có thể bỏ qua, còn đối với B- Virus và RF-Virus công việc này lại rất cần thiết. Việc dò tìm bao gồm dự báo về khả năng xuất hiện một virus mới, đưa ra chính xác loại virus đã biết trong vùng nhớ. Việc dò tìm trong bộ nhớ có thể qua các bước
1.1 Đối với B-Virus:
So sánh tổng bộ nhớ BIOS báo cáo với toàn bộ bộ nhớ mà chương trình có được sau khi tự kiểm tra sự chênh lệch. Dấu hiệu chênh lệch bộ nhớ cũng chưa đủ để kết luận có sự tồn tại của virus, mà là cơ sở để tiến hành bước hai vì số chênh lệch cũng có thể là do một chương trình bình thường làm hoặc RAM bị hỏng một phần. Bắt đầu từ địa chỉ của vùng cao, tiến hành dò tìm bằng kỹ thuật quét: dò tìm đoạn mã đặc trưng của Virus trong vùng cao. Mọi sự tìm thấy đều có thể cho phép kết luận có virus trong bộ nhớ. Trong trường hợp không phát hiện, khả năng tồn tại một B-virus mới vẫn có thể xảy ra. Bằng dấu hiệu bộ nhớ bị thiếu hụt, ngắt13h trỏ về vùng nhớ thiếu hụt và vùng này có mã nguy hiểm thì có thể kết luận tồn tại B-Virus
1.2/. Đối với RF-Virus:
Có thể dùng kỹ thuật quét dò tìm mã đặc trưng của virus từ địa chỉ thấp cho đến cao hoặc dùng phương pháp gọi ngắt để nhận dạng mà chính các virus cài đặt để tự nhận diện nó trong bộ nhớ. Trong trường hợp không phát hiện, khả năng tồn tại một RF-Virus mới vẫn có thể xảy ra. Bằng dấu hiệu ngắt 21h trỏ về vùng nhớ có mã nguy hiểm thì việc kết luận có RF-Virus mới là khá chính xác. Dò Tìm Trên Đĩa Việc dò tìm trên đĩa phải thực hiện sau khi kiểm tra bộ nhớ không có virus hoặc nếu có thì đã được khống chế. Như đa số các chương trình chống virus khác chương trình cũng áp dụng phương pháp quét tìm đoạn mã đặc trưng để phát hiện virus. Đầu tiên là quét vùng Boot để tìm B-Virus, sau đó quét các file để tìm F-Virus, Trojan và Worm. Để quét vùng Boot dùng ngắt 13h chức đọc sector 02h của BIOS đọc vào bộ đệm và tiến hành quét tìm mã virus đặc trưng. Để quét file dùng các chức năng truy xuất file của ngắt 21h: chức năng mở file 03Dh, sau đó dùng chức năng đọc file 03Fh vào bộ đệm rồi cũng tiến hành quét tìm mã virus.