Прежде всего, антивирусное ПО защищает себя. Без этой защиты вирус может просто отключить антивирус, и дальше заниматься уже своими черными делами. Иронично.
Далее, антивирусное ПО "вешается" на запуск новых файлов, чтобы предотвратить активацию новых вирусов. То есть, еще не зная, есть ли работающий вирус в системе или нет, антивирус предотвращает вмешательство новых вирусов. И если во время сканирования пользователь запустит новый исполняемый файл, то сканирование будет прервано, и файл проанализирован, примерно так. Ну, на самом деле это параллельные задачи, но для простоты понимания можно считать, что в одном потоке.
Далее антивирусное ПО сканирует оперативную память, потому что именно в ней сидит активный (работающий) вирус. Ведь если вирус в исполняемом файле, но еще не запущен, то это не активный вирус, он не опасен, пока его не запустить.
Ну и если в оперативке ничего нет, то она с большой вероятностью считается чистой, и всё остальное - это уже дело техники. То есть дальше не важно, в каком порядке проверять. Можно сначала съемные устройства, потом сетевые, а можно и наоборот. Однако разумно сначала проверить системные разделы (файлы операционной системы) на тот случай, если пользователь захочет прервать сканирование пораньше. То есть порядок уже не важен, но лучше начать с более критичных и потенциально опасных мест. А так это уже дело каждого антивируса отдельно.