Se dopo l’ultimo Windows Update hai iniziato a vedere l’avviso “A driver cannot load – phymem64.sys”, niente panico: non si tratta di un file essenziale del sistema operativo, ma di un vecchio driver considerato vulnerabile da Microsoft. In questa guida troverai tutto ciò che serve per capire l’origine dell’errore, valutarne l’impatto reale e rimuoverlo in modo sicuro, anche se non hai mai messo mano a driver o servizi di Windows.
Panoramica del problema
Il messaggio appare tipicamente subito dopo il riavvio che segue un aggiornamento di Windows 10 o Windows 11. Il Centro notifiche indica che il driver phymem64.sys non può essere caricato perché potenzialmente pericoloso. Da dove arriva? Perché all’improvviso è bloccato? E, soprattutto, è davvero necessario rimuoverlo?
Cosa c’è dietro al blocco di Windows
- Inclusione nella Vulnerable Driver Blocklist – Windows 10 22H2 e Windows 11 mantengono un elenco centrale di driver conosciuti per vulnerabilità critiche. L’elenco è aggiornato regolarmente tramite Windows Update e Windows Defender, e i file presenti vengono automaticamente impediti dal caricarsi al boot.
- Origine non essenziale – Le firme digitali mostrano che
phymem64.sysè distribuito da Shenzhen Moyea Software, azienda nota per applicazioni di ripping video ormai obsolete. Nessun componente core di Windows o driver hardware legittimo richiede questo file. - Rischi di sicurezza – I ricercatori hanno dimostrato che i driver tipo “physical memory mapping” espongono funzioni di lettura/scrittura a livello kernel; un malware potrebbe sfruttarle per aggirare i controlli di sicurezza.
Verifica iniziale e raccolta informazioni
Prima di agire è buona norma confermare che il file sia effettivamente presente ed esaminare dove e come viene richiamato.
rem Apri un prompt con diritti elevati
where /R C:\ phymem64.sys
wmic sysdriver where "name like 'phymem64%'" get Name,State,PathName,StartModeAnnota i percorsi restituiti: di solito troverai una copia in C:\Windows\System32\drivers e un riferimento nel servizio omonimo.
Soluzioni pratiche
Nella tabella seguente trovi i metodi più rapidi ed efficaci per impedire a phymem64.sys di riapparire, ordinati per completezza d’intervento.
| Obiettivo | Metodo consigliato | Passaggi chiave |
|---|---|---|
| Rimuovere l’avvio automatico | Autoruns (Sysinternals) | Scarica Autoruns → Avvia Autoruns64.exe → Filtra con phymem64.sys → Clic destro sulla voce → Delete |
| Eliminare fisicamente il driver | Driver Store Explorer | Avvia DriverStoreExplorer (rapr.exe) → Spunta il pacchetto contenente phymem64.sys → Delete Package |
| Disabilitare il servizio (opzionale) | Prompt come amministratore | sc query phymem64 per verificare → sc config phymem64 start= disabled per disattivare |
| Verificare la presenza del file | Esplora risorse | Vai in C:\Windows\System32\drivers, fai clic destro su phymem64.sys → Proprietà ► Sicurezza ► Avanzate → Cambia proprietario → Elimina file |
Procedura consigliata passo‑passo
Sicurezza prima di tutto
1. Crea un punto di ripristino: digita Crea un punto di ripristino nel menu Start e premi Crea….
Blocca l’avvio del driver
2. Esegui Autoruns come amministratore. Nella scheda Drivers digita “phymem” nella casella filtro. Seleziona ogni riga collegata al file e premi Delete. In questo modo Windows smetterà di tentare il caricamento a ogni boot.
Pulisci il Driver Store
3. Se il driver riappare, significa che è ancora conservato nel repository interno. Avvia Driver Store Explorer, ordina per Driver Name, seleziona il pacchetto Moyea, quindi Delete Package. Riavvia il sistema.
Rimuovi il software d’origine
4. Apri App e funzionalità, filtra per “Moyea” o per vecchi programmi di download/registrazione video che non usi più e disinstallali. Molti utenti scoprono in questa fase librerie installate anni prima e mai aggiornate.
Controllo finale
5. Dopo il riavvio esegui nuovamente where /R C:\ phymem64.sys e apri il Visualizzatore eventi (eventvwr.msc) filtrando per ID 7000 o ID 10111: l’errore deve essere scomparso.
Perché la rimozione è sicura
• Nessun impatto su driver di sistema – Il file non appartiene a Microsoft né a produttori hardware mainstream.
• Prevenzione contro exploit – I driver di mappatura memoria espongono funzionalità che bypassano il Kernel Mode Code Signing; lasciarli installati crea un vettore di attacco.
• Compatibilità software – Soltanto applicazioni Moyea o tool di ripping molto datati potrebbero non avviarsi più. In alternativa puoi sostituirli con software open‑source aggiornato.
Approfondimento tecnico
Come funziona la Vulnerable Driver Blocklist
La blocklist fa parte della politica HVCI (Hypervisor‑Protected Code Integrity). Quando l’hypervisor rileva un hash o una firma digitale elencata nel database, blocca il caricamento prima che il driver possa eseguire codice in kernel‑mode.
Analisi della firma digitale
signtool verify /kp /v phymem64.sysIl certificato è emesso a Shenzhen Moyea Software Co., scaduto da anni. L’hash SHA‑256 combacia con l’entry pubblicata da Microsoft nel feed driverblocklist.json.
Evidenza di vulnerabilità CVE
Sebbene phymem64.sys non sia stato assegnato a un singolo CVE, fa parte della famiglia di driver di accesso diretto alla memoria su cui i team di sicurezza hanno dimostrato Ring‑0 Arbitrary Read/Write tramite IOCTL prive di ACL.
Alternative se vuoi solo silenziare l’avviso
• Disabilita il servizio con sc config: l’errore sparisce ma il file resta dove si trova.
* Escludi evento specifico nel Visualizzatore eventi (non consigliato).
* Disabilita temporaneamente la blocklist: possibile via registro o criteri di gruppo, ma espone il sistema a ulteriori driver pericolosi.
FAQ
Perché l’errore appare solo dopo un aggiornamento? L’elenco dei driver vulnerabili viene esteso con gli update cumulativi di Windows; quando l’hash di phymem64.sys viene aggiunto, il blocco parte al riavvio successivo.
Posso semplicemente ignorare il messaggio? Tecnicamente sì: Windows impedisce comunque il caricamento. Tuttavia il continuo tentativo di avvio rallenta il boot e intasa il registro eventi.
Autoruns o Driver Store Explorer sono sicuri? Sono utility Microsoft Sysinternals e open‑source ampiamente usate dagli amministratori; basta scaricarle dal sito ufficiale.
Che differenza c’è tra disinstallare e disabilitare? Disabilitare impedisce il caricamento ma lascia file e chiavi di registro; disinstallare li rimuove, riducendo la superficie d’attacco.
Buone pratiche per evitare problemi simili
- Mantieni Windows e Microsoft Defender sempre aggiornati.
- Scarica software solo da fonti attendibili e preferisci progetti open‑source con codice revisionato.
- Abilita HVCI o “Integrità memoria” se l’hardware lo supporta.
- Esegui periodicamente Autoruns e Driver Store Explorer per individuare driver legacy dimenticati.
Conclusioni
L’errore “A driver cannot load – phymem64.sys” segnala un problema di sicurezza, non di stabilità: il sistema sta già proteggendo il kernel. Rimuovendo o disabilitando il driver, pulirai definitivamente il processo di avvio e ridurrai un potenziale vettore di attacco, senza effetti collaterali per Windows 10 o Windows 11.