Possiamo dire che ci sono sostanzialmente 2 modi di prendere un virus.
Si può prendere un virus che sfrutti una falla in uno dei software che girano sul pc (OS/browser/firewall/client email...) o si può prendere un virus "volontariamente" lanciando un eseguibile infettato.

Nel primo caso ci si imbatte se si è particolarmente sfortunati e ci si trova nel posto sbagliato al momento sbagliato: una falla è stata scoperta in uno dei software in uso e la relativa correzione non è stata ancora sviluppata/divulgata per cui basta esporsi ad uno di questi attacchi (ad esempio visitando un sito sbagliato) per rimanere infetti. In questi casi non c'è prevenzione che tenga, è tutto affidato al caso (non visitare siti sospetti aiuta ma non isola).
Generalmente le patch di sicurezza per i software più utilizzati vengono rilasciate in brevissimo tempo dal momento della scoperta della falla, gli attacchi che sfruttano falle ancora aperte sono detti Zero Day Attack.

Sempre nel primo caso ci si cade anche se non si è particolarmente diligenti nel mantenere aggiornato tutto il software presente sul pc. Ovviamente se una patch di sicurezza è stata rilasciata ma non è stata installata si rimane esposti agli attacchi relativi. Questa è una considerazione troppo spesso sottovalutata soprattutto per quanto riguarda gli aggiornamenti di windows. Chi è causa del suo mal...

Per quanto riguarda invece l'infezione "volontaria" non ci sono aggiornamenti che tengano e probabilmente è quella più diffusa. Vi state chiedendo come sia possibile? Tutto frutto di social engineering: "ma come, non vuoi vedere il video della scimmia che risolve le equazioni? Dai installa questo così lo vedi anche tu! Se invece vuoi vedere le foto che ti ho scattato mentre facevi la doccia clicca qua, presto prima che le divulghi! Sissì, è un .exe ma ci son dentro le foto..."

Per questi motivi diffidate dagli allarmi del tipo "non aprire le mail che arrivano da xyz@foo.bar, è un virus che cancella il contenuto dell'hard disk!":
questi allarmi generano panico inutile ("oddio arrivano i virus") e allo stesso tempo abbassano il livello psicologico di guardia ("questa mail non arriva da xyz, posso aprire l'allegato senza preoccuparmi") e spessissimissimo (mai dire mai) sono allarmi falsi, anche perchè nessuno scrittore di virus distribuirebbe il proprio prodotto rendendolo così facilmente riconoscibile. Bisogna solo avere un po' di buon senso e evitare d'aprire allegati inaspettatti (chiunque sia il mittente!) o installare software scaricato a caso dalla rete senza prima essersi accertati della sua affidabilità.

PS: Se vi interessa approfondire l'argomento vi consiglio il signor Attivissimo, lui da anni porta avanti questi avvertimenti