Hier gibt es keine generellen Handlungsempfehlungen, da bereits Kenntnisse über die Art der Infektion vorliegen müssen.

Bei einem System, welches gerade verschlüsselt wird, sollte dieses möglichst schnell heruntergefahren oder vom Strom getrennt werden, um Datenverlust zu vermeiden. Bei einem System, welches Spam versendet, sollte die Netzwerkverbindung - zum Beispiel durch ziehen des Ethernetkabels- getrennt werden. Zusätzlich gilt für einzelne kompromittierte Mail-Accounts, dass ein Virenscan durchzuführen und das Passwort von einem sauberen Gerät aus zu ändern ist.

In allen Fällen gilt jedoch, dass nicht in Panik verfallen werden soll und niemals Daten gelöscht werden dürfen, da dadurch etwaige Beweise vernichtet werden.