Привет. Общих случаев нет, могут прикинуться какой нибудь библиотекой и упасть в винде в system32, могут прописаться куда то лишней строкой и вызываться процессом svchost, а могут просто лежать на рабочем столе.
Ручками ищут только тогда когда знают что и где искать, для этого есть отчёты по каждой общеизвестной малвари.
В случае Пети было куча статей,
и не только на хабре, как, где, какой модуль искать и что он делает .
А для того, чтобы написать такой отчёт нужен релевантный опыт в вирусной аналитике, набор тулзов (авпо, форензика, сканеры, песочница) и достаточное количество рабочего времени.
