Detecta sim! Este é um engano comum, já que o programa não cria uma lista extra, com os processos executados após o exame. Mas não vemos necessidade disso - um processo em execução é como um arquivo no disco rígido: funciona mais ou menos como o ato de carregar um arquivo na memória.

Quando se usa o Spybot-S&D para corrigir problemas, todos os processos nocivos detectados são automaticamente finalizados, antes de qualquer coisa. Além disso, ao se utilizar o TeaTimer em conjunto, todos os processos nocivos são detectados assim que requisitados pelo sistema, e finalizados na mesma hora.

Os logs (relatórios; no Spybot-S&D, são arquivos de texto gerados depois dos exames) obviamente incluem uma lista completa de todos os processos, e a versão 1.4 do programa lista até mesmo as conexões de rede abertas por cada um deles, permitindo que os processos que conectam com o exterior sejam facilmente identificados, assim como os locais com quem eles estabelecem conexões.