Depois de cada atualização cumulativa do Windows, aparece um alerta no centro de notificações informando que “a driver cannot load – phymem64.sys”. O aviso assusta muita gente, mas a verdade é que ele sinaliza a ação bem‑sucedida do sistema de proteção do Windows, não um defeito do computador.
Visão geral do erro phymem64.sys
O Windows 10 e 11 possuem uma “lista de bloqueio de drivers vulneráveis” (Vulnerable Driver Blocklist). Sempre que um arquivo nesse rol tenta ser carregado, o kernel cancela a inicialização e exibe a mensagem correspondente (“driver cannot load”). O phymem64.sys entrou nessa lista porque contém funções que permitem acesso direto à memória física sem a devida filtragem de privilégios. Na prática, malwares poderiam usar esse driver para executar código em modo kernel e burla de políticas de segurança.
Por que o phymem64.sys está no meu PC?
- Normalmente ele vem empacotado em softwares de download, gravação ou conversão de vídeo distribuídos pela desenvolvedora Shenzhen Moyea Software (famosa por ferramentas como Moyea YouTube FLV Downloader ou Moyea Flash Video MX).
- Esses instaladores legados adicionam o driver à pasta
C:\Windows\System32\driverse criam um serviço de inicialização automática. - Mesmo após desinstalar o programa, o driver pode permanecer no repositório de drivers do Windows (
DriverStore\FileRepository), causando o alerta em toda atualização ou reinicialização.
Riscos de manter o driver
Alguns sites antigos sugerem simplesmente “permitir o carregamento”. Entretanto, desde outubro de 2023 a Microsoft reforçou as assinaturas de drivers e tornou a lista de exclusão padrão no Windows 11. Forçar a inicialização do phymem64.sys anula essa camada de defesa e expõe o sistema a:
- Escalonamento de privilégios (malwares passando de usuário comum para SYSTEM).
- Manipulação silenciosa de processos protegidos (anti‑cheat, antivírus, cofre de credenciais).
- Corrupção de memória que pode resultar em tela azul (BSOD).
Portanto, a abordagem recomendada é remover completamente o driver, não tentar “consertá‑lo”.
Soluções recomendadas
Os métodos a seguir estão ordenados da alternativa mais simples para a mais avançada. Use apenas o necessário para que o erro deixe de aparecer; caso resolva no primeiro passo, os demais tornam‑se opcionais.
| Passo | Ferramenta / Comando | Objetivo | Resultado esperado |
|---|---|---|---|
| 1 | Autoruns (Sysinternals) | Localizar e deletar entradas de inicialização de phymem64.sys | Alerta some na próxima reinicialização |
| 2 | Driver Store Explorer (rapr.exe) | Remover o pacote do DriverStore | Nenhum vestígio do driver permanece |
| 3 | Prompt de Comando (Admin) | sc query phymem64sc config phymem64 start= disabled | Impede o serviço de tentar carregar |
| 4 | Desinstalar softwares associados | Remover aplicativos antigos da Moyea ou similares | Evita reinstalação futura |
| 5 | Exclusão manual | Deletar C:\Windows\System32\drivers\phymem64.sys (caso reste no disco) | Arquivo extinto definitivamente |
Tutorial passo a passo usando Autoruns
Autoruns é uma ferramenta oficial da Microsoft/Sysinternals que lista tudo o que é executado na inicialização do Windows. Por trabalhar a nível de registro e atributos de segurança, ela é ideal para suprimir entradas teimosas de drivers bloqueados.
- Faça o download do pacote “Autoruns for Windows” (arquivo ZIP) no site da Microsoft e extraia em uma pasta à escolha.
- Clique com o botão direito em
Autoruns64.exe> Executar como administrador. - Aguarde a varredura inicial (~30 s). No campo “Quick Filter” digite phymem64.sys.
- Serão exibidas uma ou mais linhas, normalmente nas guias Drivers ou Services. Desmarcar a caixa à esquerda apenas oculta a linha; para apagar de vez, clique com o botão direito e escolha Delete.
- Repita até não restar nenhuma ocorrência. Feche o Autoruns e reinicie o computador.
- Na inicialização seguinte, o aviso “driver cannot load” não deverá mais aparecer.
Removendo o pacote com Driver Store Explorer
O DriverStore é como o “banco de drivers” do Windows. Mesmo que um arquivo seja excluído da pasta drivers, seu pacote pode ficar guardado no repositório e ser reinstalado numa futura atualização. Driver Store Explorer (conhecido como rapr.exe) cuida precisamente dessa limpeza.
- Baixe o Driver Store Explorer Release (ZIP) e extraia.
- Execute
rapr.execomo administrador. - Clique em Enumerate para listar todos os pacotes.
- No campo de busca, digite “phymem64” ou procure manualmente pela coluna “Driver Name”.
- Marque o pacote e selecione Delete Package. Confirme quando solicitado.
- Reinicie o sistema para que o repositório seja recarregado sem o driver vulnerável.
Desativação via CMD ou PowerShell
Se preferir linha de comando:
sc query phymem64
rem —— verifica se o serviço existe e seu estado
sc stop phymem64
sc config phymem64 start= disabled O Windows vai registrar que o driver nunca deve iniciar, ainda que o arquivo permaneça no disco. Essa solução é útil quando você não tem permissão para instalar ferramentas gráficas, mas não remove o pacote residual.
Desinstalação de softwares associados
Para evitar que o phymem64.sys volte a aparecer:
- Acesse Configurações > Aplicativos > Aplicativos instalados e desinstale qualquer produto Moyea ou programas de conversão FLV / SWF antigos.
- Verifique a pasta
%ProgramFiles%(e%ProgramFiles(x86)%) em busca de diretórios “Moyea”, “Flash Video MX”, “FLV Downloader” etc. - No caso de precisar do software, procure uma versão 100 % compatível com Windows 10/11 que não instale drivers legados. A maioria dos fornecedores já migrou para bibliotecas de usuário (UMDF) e não requer mais drivers de modo kernel.
Perguntas frequentes (FAQ)
O Windows Defender também acusa o driver?
Não necessariamente. A ação parte do filtro de vulnerabilidade de drivers (HVCI/Memory Integrity) ou da própria blocklist do Secure Boot. Mesmo sem o Defender sinalizar, o driver é bloqueado no nível de kernel. Posso simplesmente restaurar uma versão “fiável” do phymem64.sys?
Não vale a pena. Para que fosse aceito, o driver precisaria ser re‑compilado, assinado digitalmente com chave EV e submetido à Microsoft para whitelisting. Como não é um componente essencial, a melhor estratégia é remover. O erro afeta desempenho?
Somente na primeira inicialização pós‑update, quando o Windows tenta carregar todos os drivers. Depois que a tentativa falha, o driver não volta a executar, então não há impacto de performance — apenas o pop‑up desagradável.
Boas práticas de manutenção preventiva
- Mantenha Memory Integrity (Integridade da Memória) ativado em Configurações > Privacidade e segurança > Segurança do Windows > Segurança do Dispositivo.
- Execute periodicamente o Windows Security Health Scan e ferramentas como Malwarebytes AdwCleaner para purgar sobras de instaladores.
- Crie pontos de restauração antes de testar programas desconhecidos.
- Ative as opções Exibir extensões de arquivos conhecidos e Exibir arquivos protegidos do sistema no Explorador, para identificar rapidamente executáveis suspeitos.
- Prefira versões “portable” ou que funcionem inteiramente em modo usuário (sem drivers) quando instalar utilitários de vídeo.
Check‑list rápido de verificação após a remoção
- Sem alerta de “driver cannot load” na tela de login.
sc query phymem64retorna “The specified service does not exist”.- O Autoruns não mostra mais entradas relacionadas.
- O Driver Store Explorer não lista pacotes com “moyea” ou “phymem”.
- Programas afetados continuam funcionando ou foram substituídos por alternativas modernas.
Conclusão
O phymem64.sys é um driver legado que pode comprometer a segurança do Windows. A mensagem “driver cannot load” indica que a proteção funcionou corretamente. O procedimento recomendado é localizar e excluir o driver (e seus registros) com ferramentas como Autoruns e Driver Store Explorer, desinstalar softwares antigos que o incluam e manter a lista de bloqueio de drivers vulneráveis ativada. Com isso, o sistema fica livre do alerta e ganha uma camada extra de defesa contra exploits em modo kernel.