Use um Draytek. Fale com a IK1.

http://www.ik1.com.br/dynamics/draytek/

Mesmo assim vai ter de limpar todas as maquinas, principalmente as que rodam windows. Backup em tudo e malwarebits, um bom antivirus e taca-le pau...

Draytek tem várias configurações para uso corporativo, rede interna, escalonamento de sub redes, redes separando setores importantes da empresa, ele desliga redes em determinados horários, tipo almoço, fim de semana, fim de expediente, horários e setores predefinidos, etc.

Ah sim! O Draytek roda linux.

Amarre TODAS as máquinas pelo mac address, e não deixe os protuzuários conectarem seu androids.

F*da-se. Cada um que use seu plano de internet.

Lembre-se que android está vulnerável apesar de ser uma versão de linux.

Depois que tiver tudo certo você pode até liberar os androids, mac address na sua mão, confira se estão atualizados...

Agora se você quiser fazer um firewall, iptables, squid, etc... Tem receita em todo lugar na internet mas demanda tempo... Não esqueça de limpar as máquinas infectadas, elas estão "linkando" os hackers.

Quando a folha de pagamento sumir a Diretoria vai entender quanto é barato um equipamento desses. Uma vez peguei um sujeito que instalou um servidor de CS dentro do servidor da empresa... tinha hora que nem e-mail saia.