O que os garotos Mozilla têm a dizer :
Anti-Virus Software
Firefox integrates elegantly with your antivirus software. When you download a file, your computer’s antivirus program automatically checks it to protect you against viruses and other malware, which could otherwise attack your computer.
Então, sua suposição no número 2 estava correta. Eu notei que ele também faz isso em computadores sem um anti-vírus como você mencionou, acho que é porque ele está procurando por um antivírus instalado a cada vez.
Se você não quiser desabilitá-lo, em about:config
modificar browser.download.manager.scanWhenDone e defini-lo como falso.