No es obligatorio dejar XP.
Como han dicho más arriba:
-si utilizabas Internet Explorer deja de hacerlo porque no lo van a actualizar más, pásate a Firefox o Chrome.
-utiliza un antivirus (hay gratuitos y buenos: AVG, ESET) + cortafuegos de windows, no pagues por una Internet Suite.
Las infecciones por bichito, llegan en el 99% de los casos por culpa del usuario, que ejecuta o da permiso para ejecutar código malicioso. No hay sistema operativo inventado que proteja a tu equipo de ti mismo. Lo que si existe son los antivirus con protección en tiempo real, que analizan los ejecutables antes de que Windows los lance. Si uno sabe lo que tiene entre manos, puede pasar sin antivirus, pero para el usuario medio, es decir, aquel que usa el ordenador sin tener ni idea de lo que significa "código ejecutable", mejor instalarse uno.
Un ordenador también puede infectarse sin ser culpa del usuario, por ejemplo al visitar webs infectadas maliciosamente para aprovechar vulnerabilidades de tu navegador de internet para injectar código a tu equipo y que lo ejecute. Cuando digo webs infectadas, no hay que pensar en astutascachondaspuntonet, puede que ese blog favorito que visitas cada día lo haya infectado un granuja hace una hora y en la visita de hoy te infecte. De ahí lo de abandonar un navegador que Microsoft va a dejar de actualizar en breve. Si aún así alguien quiere aprovechar una vulnerabilidad en tu navegador, un antivirus con protección en tiempo real aún puede bloquear la ejecución del código que le hayan inyectado al equipo.
Por último, pagar por un cortafuegos es tontería. La protección que brinda el cortafuegos de Windows es más que suficiente. El cortafuegos de Windows sólo bloquea de conexiones entrantes. Los cortafuegos de pago que vienen incluidos en las Internet Suites (McAfee, Norton, etc) bloquean conexiones entrantes y salientes, pero es que si en algún momento hay una conexión saliente provocada por un bichito, estás dolido, porque eso quiere decir que ya estás infectado.