selbstantwort....juhu.....
problem folgendermassen gelöst:
"adzap" benutzen !!
das ist ein werbefilter mit dem man auch über das mitgelieferte "zapchain" redirector-chains erzeugen kann.
so habe ich nun squidguard, den werbefilter und testweise den virenscanner eingebunden. läuft zwar nicht wirklich zufriedenstellend (virenscanner frisst etwas viel performance), aber ich bin guter dinge, dass das auch noch in den griff zu bekommen ist. evtl. werde ich den werbefilter weglassen, denn wenn 10 "zapchain"-prozesse gestartet werden, so werden insgesamt 30 redirectors (3x10) gestartet, was das system etwas beansprucht. weniger zapchain-prozesse kann ich wegen der großen user-anzahl nicht einstellen.