MENU
  1. Inicio
  2. Windows
  3. troubleshooting
  4. Cómo eliminar la carpeta \$AV_NLL y \$VAULT (Vault.db) en Windows sin errores de “acceso denegado”

Cómo eliminar la carpeta \$AV_NLL y \$VAULT (Vault.db) en Windows sin errores de “acceso denegado”

troubleshooting

¿Te has topado con la carpeta $AV_NLL y su subcarpeta $VAULT (con el archivo Vault.db) que se resiste a ser eliminada incluso en Modo seguro? A continuación encontrarás una guía completa, fiable y libre de riesgos para borrar definitivamente este directorio de cuarentena creado por un antivirus.

Índice

Origen del problema

La carpeta $AV_NLL no es un virus en sí, sino el “contenedor” donde algunos antivirus de terceros —entre ellos Norton, Avast, AVG o McAfee— guardan en aislamiento los archivos detectados como maliciosos. Dentro de ella suele hallarse la subcarpeta $VAULT y la base de datos Vault.db, que registra qué elemento fue puesto en cuarentena, cuándo y por qué.

Mientras la cuarentena permanezca activa, el antivirus marca la ruta como sólo lectura y asigna permisos especiales al sistema (ACL) para impedir que:

  • un malware restaure el archivo infectado,
  • el usuario borre el historial de cuarentena sin supervisión,
  • otras aplicaciones accedan o repliquen el contenido.

Por eso intentar eliminar el directorio desde el Explorador de Windows o con DEL/RD en la consola devuelve un mensaje de “acceso denegado” aun siendo administrador.

¿Qué sucede si ya desinstalé el antivirus?

Aunque hayas quitado el antivirus original, su servicio de protección contra manipulación (Tamper Protection / Self‑Defense) puede dejar claves del Registro, controladores o tareas programadas que siguen bloqueando la carpeta. En muchos foros se confunde con “virus imposible de borrar” cuando en realidad es un residuo legítimo.

Solución paso a paso (válida para cualquier antivirus)

  1. Identifica el antivirus que creó la carpeta. Si no lo recuerdas, revisa en “Aplicaciones instaladas” nombres como Norton, Avast, AVG, Avira o su updater. En caso de duda, consulta el archivo Vault.db con un visor de texto: la primera línea suele incluir “Norton”, “Avast” u otra marca.
  2. Reinstala temporalmente ese antivirus. Descarga el instalador oficial, ejecuta la instalación estándar y omite licencias si tu suscripción caducó; basta con el periodo de prueba.
  3. Ejecuta su herramienta de limpieza interna. Cada proveedor nombra el proceso de forma distinta:
    • Norton: Security History ▸ Quarantine ▸ Clear All
    • Avast/AVG: Threat Quarantine ▸ Delete permanently
    • McAfee: Quarantined Items ▸ Remove
    Al vaciar la cuarentena, el programa elimina la base de datos y libera los permisos.
  4. Reinicia Windows. Al volver, comprueba que $AV_NLL ya no tiene el atributo “sólo lectura” y bórrala normalmente. Si continúa, sigue con el método específico del antivirus.
  5. Desinstala de nuevo el antivirus (si no planeas seguir usándolo) y reinicia para limpiar servicios residuales.

Guía detallada para Norton

  1. Abre Norton ▸ Settings ▸ General.
  2. Desactiva Product Tamper Protection (Protección contra manipulación). Norton pedirá confirmar la duración; selecciona “Hasta próximo reinicio”.
  3. Cierra la interfaz de Norton o reinicia si lo solicita.
  4. En el Explorador, haz clic derecho sobre la carpeta $AV_NLL, selecciona Propiedades, desmarca “Sólo lectura” y aplica los cambios a subcarpetas.
  5. Elimina la carpeta y el archivo Vault.db. De ser necesario, usa Shift + Supr para borrado definitivo.
  6. Vuelve a Norton y reactiva Product Tamper Protection para mantener la protección habitual.

Tabla resumen de opciones de cuarentena

ProveedorMenú de accesoAcción para vaciar
NortonSecurity History → QuarantineClear All
Avast / AVGProtection → Virus ChestDelete permanently
McAfeePC Security → Quarantined ItemsRemove
KasperskyMore Tools → QuarantineDelete all

Método avanzado: eliminación desde un Live USB Linux

Si no puedes reinstalar el antivirus o el servicio de protección quedó corrupto, un entorno Live permite borrar la carpeta sin restricciones:

  1. Crea un Live USB con Ubuntu, Fedora o cualquier distribución con soporte NTFS.
  2. Arranca el PC desde el USB y elige “Probar sin instalar”.
  3. Abre el explorador de archivos, monta la partición de Windows (aparecerá con el nombre de la unidad).
  4. Navega hasta la ruta donde está $AV_NLL, selecciónala y pulsa Supr.
  5. Vacía la papelera de Linux, desmonta la unidad y apaga el sistema.
  6. Retira el USB y arranca Windows con normalidad; la carpeta ya no existirá.

Precaución: este procedimiento omite la cuarentena del antivirus. Asegúrate de que los archivos maliciosos estaban realmente inactivos. Tras finalizar, instala un antivirus confiable y ejecuta un análisis completo.

Buenas prácticas para evitar el problema de nuevo

  • Mantén siempre activo un único antivirus. Dos motores simultáneos pueden interferir y dejar carpetas residuales tras cada actualización.
  • Actualiza tu antivirus antes de escanear para reducir falsos positivos que terminen en cuarentena.
  • Revisa la cuarentena al menos una vez al mes; si los elementos llevan más de 30 días sin detectarse de nuevo, bórralos.
  • Desinstala el antivirus con la herramienta oficial de su fabricante (Norton Removal Tool, Avast Clear, etc.) para evitar restos como $AV_NLL.
  • Configura Windows Defender como protección de respaldo si decides prescindir de soluciones de terceros.

Preguntas frecuentes

¿Es peligroso borrar $AV_NLL? No. Eliminarla solo borra archivos ya puestos en cuarentena (normalmente infectados) y libera unos pocos megabytes. No afecta al sistema operativo. ¿Puedo formatear la unidad en vez de seguir estos pasos? Sí, pero es la solución más drástica. Perderás todos los datos de la partición; lo recomendable es vaciar la cuarentena o usar Live USB. ¿Por qué la carpeta se crea en una partición de datos y no en C:? Algunos antivirus guardan las amenazas en la unidad donde fueron detectadas. Si descargaste un archivo sospechoso en D:, la cuarentena se creará allí para evitar mover datos entre discos. ¿Cómo evito que reaparezca? No reinstales versiones antiguas del mismo antivirus ni restaures copias de seguridad con la carpeta incluida. Mantén el programa actualizado y vacía la cuarentena con regularidad.

Resultado final

Siguiendo el procedimiento apropiado para tu antivirus, la carpeta $AV_NLL y el archivo Vault.db se eliminarán sin dejar rastro, liberando espacio y quitando cualquier advertencia de “acceso denegado”. Los usuarios que deshabilitaron temporalmente la protección contra manipulación de Norton confirman que el borrado se completa en menos de un minuto y sin consecuencias para la estabilidad de Windows.

Conclusión

La clave está en comprender que $AV_NLL no es un malware, sino un residuo de seguridad. Al atacar el problema desde el propio antivirus o, en última instancia, desde un entorno Live, garantizas una eliminación limpia y segura. Mantén un plan de mantenimiento (actualizaciones, análisis mensuales y desinstalaciones correctas) para evitar que la situación se repita.

troubleshooting
Troubleshooting Windows 11 Windows 10 \$AV\_NLL eliminar carpeta antivirus
Índice