Eliminare la cartella \$AV_NLL (Vault.db) in Windows: guida completa

Scoprire nella propria partizione dati la cartella $AV_NLL con il file $VAULT\Vault.db può spaventare: sembra impossibile cancellarla e Windows la segnala come sola lettura. In realtà è un residuo innocuo lasciato da un antivirus — quasi sempre Norton, talvolta Avast — che ospita file in quarantena. Di seguito trovi una guida completa (con procedure passo‑passo, comando preconfezionato, FAQ e consigli di prevenzione) per rimuovere definitivamente la cartella su Windows 10 e Windows 11, in tutta sicurezza.

Perché esiste la cartella $AV_NLL?

Durante la quarantena l’antivirus sposta gli elementi sospetti fuori dai percorsi di sistema per isolarli. Norton crea la cartella nascosta $AV_NLL (Norton Low‑Level) con dentro una struttura simile a $VAULT\Vault.db. L’attributo Product Tamper Protection blocca qualunque modifica: l’obiettivo è impedire ai malware di eliminare le prove o di reinfettare il PC.

Perché Windows nega l’eliminazione?

• Attributi read‑only, system, hidden applicati alla cartella e ai file interni.
• Servizio dell’antivirus ancora in esecuzione o driver legacy caricati che sorvegliano il percorso.
• ACL personalizzate: l’account utente non ha “Controllo completo”.

Strategie di rimozione (dal più semplice al più avanzato)

1. Svuotare la quarantena dall’interfaccia dell’antivirus

1. Apri Norton > Sicurezza > Quarantena.
2. Clic su Svuota quarantena (oppure seleziona i singoli elementi e premi Elimina).
3. Riavvia Windows. Alla prossima scansione la cartella scompare automaticamente.

Hai disinstallato Norton? Reinstallalo (non serve licenza attiva, basta la versione di prova), esegui i passi sopra, quindi disinstalla di nuovo: il programma rimuove al termine tutti i file di supporto.

2. Disattivare temporaneamente Product Tamper Protection

1. Norton > Impostazioni > Generali > Product Tamper Protection > Off.
2. Nella finestra di conferma scegli un timeout (ad es. 15 minuti).
3. Apri Esplora file, tasto destro su $AV_NLL > Proprietà > togli la spunta da Sola lettura > OK.
4. Cancella la cartella normalmente (Maiusc + Canc per bypassare il Cestino).
5. Rientra in Norton e riattiva la protezione anti‑manomissione.

3. Eliminazione via Prompt dei comandi con privilegi elevati

Usa questa procedura se:

• l’antivirus non è più presente e non vuoi reinstallarlo;
• la cartella risiede su unità esterna senza antivirus installato.

attrib -r -s -h "D:\$AV_NLL" /S /D
rd /s /q "D:\$AV_NLL"

Sostituisci D: con la lettera corretta del tuo volume. Il parametro /S rimuove gli attributi da file e sottocartelle, /D include le directory, mentre rd /s /q effettua la cancellazione ricorsiva in modalità silenziosa.

Attenzione: esegui il prompt come Amministratore. Se il comando restituisce “Accesso negato”, assicurati che non sia rimasto installato un servizio residuale di Norton (NortonSecurity, NS, NAV) e riprova in Modalità provvisoria.

4. Impostare correttamente le ACL (opzionale)

Talvolta Windows nega l’eliminazione perché l’utente non è proprietario della cartella. Puoi correggere con:

takeown /f "D:\$AV_NLL" /r /d y
icacls "D:\$AV_NLL" /grant administrators:F /t

Dopodiché ripeti il comando rd visto sopra.

Tabella di confronto tra antivirus

Prodotto	Cartella usata	Impostazione che blocca l’eliminazione	Dove trovarla
Norton 360 / Antivirus Plus	$AV_NLL	Product Tamper Protection	Impostazioni → Generali
Avast / AVG	avast\ o $AV_NLL	Enable Self‑Defense	Impostazioni → Risoluzione problemi
McAfee	Quarantine nascosta	Access Protection	Impostazioni → Protezione PC → Real‑Time

Rimozione su dischi secondari o USB

Norton a volte crea $AV_NLL sul primo volume con spazio sufficiente, anche se non è il disco di sistema. La procedura è identica, ma accertati di:

• collegare il disco al PC dove è installato l’antivirus (se presente);
• verificare la lettera assegnata dal Gestore dischi prima di lanciare i comandi.

Prevenire la ricomparsa

• Mantieni aggiornato l’antivirus: le versioni più recenti puliscono da sole le tracce di quarantena quando il file viene eliminato.
• Non disinstallare l’antivirus con la quarantena ancora piena.
• Disattiva Product Tamper Protection solo per il tempo necessario e riattivala subito dopo.
• Esegui regolarmente Clean‑Up Utility ufficiali (Norton Remove and Reinstall, Avast Uninstall Tool) in caso di migrazione a un altro prodotto di sicurezza.

Domande frequenti

Posso semplicemente ignorare la cartella?

Sì, non è pericolosa. Occupa però spazio e può causare confusione durante i backup.
La cancellazione modifica lo stato di protezione del PC?

No. Gli elementi in quarantena sono copie già neutralizzate; rimuoverle non influisce sul motore antivirus.
Perché la cartella è “write‑protected” anche in Modalità provvisoria?

I driver di protezione restano caricati finché non disattivi la relativa opzione o disinstalli il prodotto.
Il comando attrib è reversibile?

Sì. Puoi ripristinare gli attributi con attrib +r +s +h "D:\$AV_NLL" /S /D.
È necessario un punto di ripristino prima di procedere?

Consigliato: la rimozione è sicura, ma un backup o un punto di ripristino garantiscono un ulteriore livello di tranquillità.
Funziona anche con Windows Server?

Sì, purché tu abbia diritti amministrativi e l’antivirus installato supporti l’edizione Server.
E se il file è aperto da un processo sconosciuto?

Usa Process Explorer (Microsoft) per identificare il handle e termina l’applicazione prima di eliminare.
Il comando rd /s /q è sicuro?

Agisce solo sul percorso indicato. Digitandolo con attenzione, non danneggerai altre cartelle.
Posso usare PowerShell?

Sì: Remove-Item -LiteralPath "D:\$AV_NLL" -Recurse -Force con finestra elevata.
Che cosa contiene Vault.db?

Metadati dei file in quarantena (hash, percorsi originari, data di isolamento). Non memorizza dati personali leggibili.

Conclusione

La cartella $AV_NLL non è un malware, ma un semplice deposito di quarantena protetto dall’antivirus. Per eliminarla basta scegliere l’approccio più adatto: svuotare la quarantena dall’interfaccia, disattivare temporaneamente la protezione anti‑manomissione o usare il prompt dei comandi con attributi corretti. Alla fine della procedura potrai finalmente liberare spazio e mantenere ordinata la tua partizione dati senza compromettere la sicurezza del sistema.