Возврат к этой точке разговора высвечивает один возможный сценарий. Файл со своим содержимым создаётся на некотором носителе, и тут же этот носитель извлекается, либо отсоединяется от системы. Тогда он останется непроверенным, и его могут запустить там, где нет антивируса. Видимо, это и есть то самое искусство компромисса (о котором так долго говорили разработчики)...
Ладно, если других вариантов культурного выхода из этой ситуации нет, я тоже склоняюсь к компромиссу.
Когда файл создается, он пустой и в нем нечего проверять. К тому же он может быть создан с монопольным доступом и пока он не будет закрыт к нему не будет доступа. Отслеживать запись в файл тоже фигня, т.к. писаться может кусочками вплоть до одного байта. Остается только проверять после закрытия, как и делалось с twain.log.
Если вернуться к сабжу, тестовый файл должен иметь расширение exe или com и должен быть запущен на выполнение. В качестве бонуса еще на копирование может срабатывать. Реагировать на txt файл он как бы совсем не обязан.
Да и вообще, по большому счету, eicar - это фикция, оставшаяся со времен доса.