Das wichtigste ist sich richtig im Internet zu verhalten. Die größte Sicherheitsschwachstelle ist immer noch der Benutzer selbst. Dagegen schützt die beste Software nicht. Also, E-Mail Anhänge, wie schon angesprochen, nicht einfach unüberlegt öffnen. Auch nicht, wenn sie von Freunden oder Bekannten kommen. Den Absender kann man sehr leicht fälschen. Am besten unerwartete E-Mails mit Anhängen sofort ungeöffnet löschen (lasst euch nicht von eurer Neugier treiben! Darauf legen es die Viren-Autoren an). Einen alternativen Browser und E-Mail Client nutzen, wäre auch keine schlechte Idee. Den E-Mail Client so einstellen, dass zum einen rein gar nichts automatisch ausgeführt wird und zum anderen zum Anzeigen nur der Text Modus benutzt wird. Auf HTML bei E-Mails generell verzichten.
Windows so einstellen, dass keine Dienste automatisch im Internet angeboten werden. Das kann man mit dem kleinen Skript von
www.ntsvcfg.de ganz leicht erreichen. Windows IMMER aktuell halten. Am besten die Auto-Update Funktion aktivieren. Das gleiche gilt für den Browser und für den E-Mail Client sowie für alle anderen Programme, die mit dem Internet zu tun haben. Keine Dateien aus dubiosen Quellen herunterladen und ausführen. Überlegt euch genau, ob ihr diese Software wirklich unbedingt braucht. Zum Surfen ein beschränktes Benutzerkonto einrichten (Dateisystem MUSS dabei NTFS sein). Möglichst auf File-Sharing verzichten.
Wenn möglich einen Router einsetzen. Ob selbst gebaut oder sebst gekauft ist dabei egal. Hauptsache das erste Schutzschild läuft nicht auf dem zu schützenden System (Der Router muss dann natürlich auch entsprechend konfiguriert sein, also nicht alles ins LAN weiterleiten). Aus diesem Grund haben PFW generell eine konzeptionelle Schwäche. Wer sein System vernünftig konfiguriert, es aktuell hält und sich im Internet richtig verhält, braucht im Grunde keine PFW, denn sie bringt dann keinen zusätzliche Sicherheit. Das Nach-Hause-Telefonieren kann keine PFW effektiv verhindern. Das kann nur der Benutzer selbst verhindern indem er keine Software installiert, die das tut oder indem er diese Funktion in den Optionen der Software einfach abschaltet. Wer möchte kann natürlich eine PFW einsetzen, notwendig ist es aber nicht. Gerade User, die wenig oder gar keine Ahnung von dieser Thematik haben, neigen dazu, wenn sie eine PFW installiert haben, mehr Risiko einzugehen, wenn sie sich im Internet bewegen. Nach dem Motto: "Mir kann ja nichts passieren. Ich habe ja eine PFW installiert." Sowas nennt man Risikokompensation und das ist gefährlich.
Man sollte stets das Ziel haben erst gar keine Maleware auf seinem Rechner zur Auführung kommen zu lassen. Denn Antiviren- und Anti-Spyware-Programme kommen immer dann erst zum Einsatz, wenn das Kind schon in den Brunnen gefallen ist.
Der tatsächliche Nutzen von Personal Firewalls und auch von Antivirenprogrammen ist im Übrigen stark umstritten.
/Edit
Ich persönlich nutze zusätzlich noch die Immunisierungsfunktion von Spybot S&D und von SpywareBlaster.
Man merkt ja kaum ob er "gut" oder "schlecht" ist. Ich freu mich halt wenn's oft Updates gibt und die Prüfung lange dauert (gibt mir ein Gefühl, es wäre ordentlich gemacht). Ansonsten merksts ja nur wenns zu spät ist... bzw. selbst dann merkt mans oft ja nicht 
Kann mir vielleicht einer (so für nen ganz doofi wie mich) eine Liste zusammenstellen, mit antivirenprogrammen, die ohne adminrechte laufen, oder die zwar admin rechte benötigen, aber man diese alternativ eingeben kann, ohne dass der adminbenutzer angemeldet sein muss (gibts das überhaupt?)
kann mich aber auch irren.
