La idea errónea aquí es que la explotación no siempre es parte de una infección. Cuando se parchea un sistema operativo, se lo protege contra un error que podría permitir que un atacante infecte una computadora. Pero un atacante no necesita usar un error para obtener acceso, y si lo hace, no es necesariamente parte del sistema operativo (podría estar en un servicio, navegador, aplicación instalado). Piense en usar ingeniería social, usar una contraseña que haya obtenido de alguna manera, o incluso usar un exploit de navegador que sea independiente de la versión del sistema operativo, ya que solo explota el proceso del navegador.
Los escáneres de virus agregan otra capa de protección, si el malware se instaló con credenciales, ingeniería social o incluso un día cero, si se sabe que todavía lo detendrás.
Como concepto, la seguridad siempre se construye en capas, asumiendo que cuantos más obstáculos coloque los atacantes será más difícil, lo que suponiendo que no sea un objetivo de valor lo suficientemente alto lo convertirá en un indeseable o prácticamente seguro.