Lo que hace básicamente es buscar determinadas entradas en el registro, en la clave HKeyClassesRoot\CLSID, precisamente las que usan los spywares conocidos (esas entradas que empiezan por { y tienen un montón de números y letras dentro, que si no me equivoco con mayormente controles active-X), y simplemente les pone un signo "-" delante, con lo que quedan inutilizadas.

Por tanto, una vez ejecutado, no hay que volverlo a correr hasta que aparezca una nueva actualización con las nuevas claves sospechosas que se hayan conocido.

Eso es lo que hace básicamente, pero revolviendo entre sus opciones hay más cosas interesantes, como por ejemplo (si no me falla la memoria, no tengo acceso a mi equipo en estos días por vacaciones) llenar el archivo HOSTS de páginas indeseables y colocar páginas también indiseables en la zona de sitios restringidos del internet explorer (si me falla la memoria, es que estas opciones están en Spybot Search and Destroy, programa que también es obligatorio tener instalado).