Un file per essere eseguito deve necessariamente essere caricato in memoria. Anche per sfruttare una vulnerabilità in un software, l'exploit deve essere caricato in memoria. Nel momento in cui qualcosa si comporta in questo modo, l'antivirus con la sua protezione in tempo reale (qualunque esso sia) lo intercetta e lo analizza, tutto qui. Secondo questo ragionamento, corretto s'intende, i malware che arrivano via mail vengono comunque intercettati dagli antimalware che non dispongono di un controllo per le e-mail perché alla loro esecuzione vengono caricati in memoria!
C'è anche da precisare che viene intercettato qualunque tentativo di accesso al file, se ti soffermi con il cursore su un file infetto in attesa del famoso rettangolino giallo che ne mostra le proprietà, AntiVir (o altri antivirus analoghi) ti avvertiranno.
Se quindi ci sono dei software antivirali, tu hai nominato Norton, che analizzano ogni singolo file, è inevitabile che siano lenti e un po' mattonosi. E comunque, nelle opzioni di AntiVir vi è la possibilità di scansionare anche gli archivi.
Esegui 
