根据恶意代码迹象的重要性对其进行适当的分级是很重要的，因为它们会传播到其他电脑的系统中

* 通过设置邮件服务器和客户端来阻塞病毒邮件：许多邮件系统都可以通过手动设置来阻塞特定主题，附件名或其他标准来阻塞带有恶意代码的邮件。虽然这种方法并不是十分安全有效，但是在没有相匹配的反病毒特征码时，这种方法是对付将要到来的已知病毒最好的方法。
* 阻塞发送出的访问：如果恶意代码向外部发送病毒邮件或是尝试与外部连接，那么管理员应该阻塞已感染系统尝试连接的外部主机的IP地址或是服务
* 关闭邮件服务器：当遇到破坏特别严重的恶意代码的时候，假设这时内网中已经有大量的主机被感染，并且病毒试图通过邮件传播出去。这时，邮件服务器可能已经被内网中上百台电脑发来的病毒邮件搞得完全瘫痪。这种情况下，关闭邮件服务器，防止病毒向外扩散是非常必要的。
* 断开局域网与因特网的连接：当遇到极为严重的蠕虫病毒侵袭的时候，局域网可能会因此瘫痪。有时情况严重，外网的蠕虫还可以使局域网与因特网连接的网关完全瘫痪。一般遇到这种情况，特别是如果局域网已经因为蠕虫完全无法同因特网取得联系时，最好断开局域网与因特网的连接，这样可以保护局域网内的系统不会遭到外网蠕虫的侵袭；如局域网已经被蠕虫感染，这样做也可以防止蠕虫感染其他网络的系统和造成网络拥塞。
确定局域网中被感染和存在漏洞的主机需要通过复杂的动态运算。如果网络中所有的电脑都开着，并且连在网中，那么清除恶意代码就会变的相对简单一些。但是，实际情况中可能存在被感染的主机没有开机，或是迁移到其他网络中，或是电脑虽然开着，但是用的人已经离开了办公室等情况。存在漏洞的主机尽管在使用者不在时是关闭的，但是它很可能一开机就被病毒感染。确定被感染和存在漏洞的主机不能仅仅依赖于我们的参与。无论如何，单位或组织也没有足够的人力和时间去对每台主机进行手动检查，特别是当这里有很多人是使用移动电脑或是在家里通过使用与工作单位连接的计算机终端来进行远距离工作时。在出现大规模的恶意代码爆发时，组织或是单位必须慎重考虑这些情况，从而采用最有效的封锁策略。
4.2 感染来源线索的收集和处理
尽管收集这些线索是可能的，但是这并没有多大用处，因为恶意代码既可以自动传播，也可以通过被感染用户传播。所以，确定病毒的来源是非常困难并且费时间的工作。但是，收集病毒样本用于以后的测试在某些情况下是非常有用的。
4.3 杀除与恢复
反病毒软件可以有效的鉴定和清除恶意代码；尽管有的被感染文件是无法清除的（这些文件可以被删除或用未被感染的备份文件覆盖；对与一个程序来说，被感染程序可以卸载重装。）。这样，即使病毒为它的操纵者窃取了管理员级的权限，它也将无法执行操作者接下来的指令，在这种情况下，用户可以用未被感染的备份文件来恢复系统，或是重新安装。然后应该采取措施保护系统使它不会在轻易地被同一种恶意代码感染。
5，恶意代码处理查询表
表5-3中的查询表提供了处理恶意代码的主要步骤。这个查询表是表3-5的延续。注意：根据恶意代码的性质的不同和组织或单位选择的策略的不同，具体的步骤的顺序有可能不同。