Windows 7 - как заблокировать весь вх/исх трафик кроме браузера

Никак. Точнее, заблокировать-то можно, но тогда и браузер перестанет загружать страницы, ибо часть сетевых служб Вантуза вынесена в svchost. Например, DNS-запрос браузер выполняет не напрямую, а через эту службу. Если мы ее выпилим, то сайты в браузере открываться перестанут. Если мы ее не выпилим, через эту службу MS может сливать данные, а вирусописатели могут прятать за ней свои зловреды. Кстати, за эту дырку в архитектуре каккеры должны уже были Microsoft памятник поставить. Никто не сделал так много для распространения сетевой заразы, сколько сделали программисты из Microsoft. ;)

забетонировать все сетевое сообщение, кроме одного единственного бразуера

«Бетонировать» лучше адресные диапазоны Microsoft. Только будьте готовы самостоятельно решать проблему с обновлениями безопасности. Имхо, проще на Linux перейти, чем пытаться противостоять программерам Microsoft, пытаться перехитрить транснациональную корпорацию, пытаться переделать троян обратно в операционную систему.

Outpost умеет это делать. Надо вырубить автосоздание правил и тогда он для каждой программы будет спрашивать, можно ли ей лезть в сеть. Но:
1) стоит денег;
2) нужно хорошо разбираться в предназначении системных файлов Вантуза.

Не совсем так. Адреса корпорациям выделяются крупными блоками и перебанить все те, которые принадлежат Microsoft не так трудно. К тому же, всегда можно запустить сетевой монитор и проверить: не сливает Вантуз данные на какой-то новый адрес. Проблема в другом: как отделить полезные сервера с обновлениями безопасности от остального шлака? По-моему, никак. Можно, конечно, внести сервера с обновлениями в список исключений, но ведь load balancer может и на другой IP направить. В общем, фигня всё это. Не стоит потраченного времени.

а нельзя ли на винде параллельно запустить альтернативный(программный) DNS-сервер

Можно. Но все данные все равно пройдут через svchost. Вот:

Стоит кэширующий DNS на 192.168.1.1, но обращается к нему не Firefox, а svchost. И это логично. А как иначе проверять наличие доменного имени сначала в локальном hosts?

svchost это просто врапер — обертка по русски, за которой прячутся настоящие службы. Если посмотреть список с помощью команды tasklist /svc, видно что стоит за каждым svchost. Стартует определенная служба, когда svchost вызывается с определенным ключем. Я конечно не супер админ, точнее не админ вообще, но от обновлений отказываться нельзя это однозначно, иначе через некоторое время будет не система а решето. Во вторых осторожней со всякими тулзами, даже с высоким рейтингом как systemcare, вы не знаете что кроме "полезного" она еще делает с системой.

Нет, это совсем не врапер. Это механизм, который позволяет запускать несколько сетевых служб в контексте одного процесса. Типа, чтобы ресурсы экономить. Вот пример:

svchost.exe 136 AeLookupSvc, Appinfo, Browser, EapHost,
gpsvc, IKEEXT, iphlpsvc, LanmanServer,
ProfSvc, Schedule, SENS, ShellHWDetection,
Themes, Winmgmt, wuauserv
svchost.exe 1172 CryptSvc, Dnscache, LanmanWorkstation,
NlaSvc


Как видим, много всякой хрени сгруппировано, но PID у них один.

Кстати, что интересно: умные люди стараются наоборот важные процессы изолировать, а не слить их в один. Например, в Chrome каждая вкладка — это отдельный процесс. Firefox дырявый Flash запускает в отдельном контейнере. И только Microsoft запихивает потенциально уязвимые сетевые службы в один процесс.

Если посмотреть список с помощью команды

Посмотреть-то можно, только что толку? Товарищ хотел выпилить доступ в сеть для всех программ, кроме браузера.

но от обновлений отказываться нельзя это однозначно

Я это и пытался донести до гражданина. В конце концов, это же нелогично: опасаться слива данных в Microsoft, но не переживать из-за слива данных каккерам по вине не закрытой вовремя дырки.

Во вторых осторожней со всякими тулзами

Забавно, фанаты Windows действительно на полном серьезе считают, что можно скачать программку, которая за них решит все проблемы со слежкой? ;)