¿Te apareció el aviso “a driver cannot load – phymem64.sys” después de actualizar Windows? No entres en pánico: no es un archivo legítimo del sistema y eliminarlo mejora la seguridad sin provocar inestabilidad. A continuación encontrarás una guía exhaustiva para diagnosticarlo y desinstalarlo de forma segura.
Descripción del error
Windows 10 y 11 incorporan desde 2022 una lista de controladores bloqueados (“vulnerable driver blocklist”). Cada vez que el sistema detecta un componente incluido en esa lista durante el arranque o tras una actualización, muestra un evento de Kernel Driver con el texto:
A driver cannot load on this device.
Driver: \SystemRoot\System32\drivers\phymem64.sys
El mensaje puede aparecer también como una notificación emergente de Seguridad de Windows o quedar registrado en Visor de eventos → Microsoft → Windows → Kernel-WHEA/WER.
¿Qué es phymem64.sys?
Se trata de un pseudo‑controlador utilizado años atrás por aplicaciones de captura de vídeo, descargadores multimedia e incluso algunas suites de DVD ripping. Simula acceso directo a memoria física para mejorar la velocidad de copiado, pero su implementación permite a procesos sin privilegios elevarse a kernel‑mode, lo que abre la puerta a exploits. Microsoft lo añadió a su blocklist en octubre de 2021.
Por qué Windows lo bloquea
- Incluye llamadas obsoletas a punteros de E/S que ya no existen en las versiones modernas del kernel.
- No firma digitalmente con un certificado válido o usa un SHA‑1 expirado.
- Permite escritura arbitraria en memoria física, facilitando privilege escalation.
Peligros de mantener el controlador
Aunque en la práctica Windows impide su carga, conservarlo supone:
| Riesgo | Impacto potencial |
|---|---|
| Escalada de privilegios | Malware local puede ganar control total del sistema. |
| Choque del kernel | Pantallas azules (BSOD) aleatorias por llamadas no válidas. |
| Alertas repetitivas | Distracción constante del usuario y falsa sensación de fallo crítico. |
Cómo confirmar que no es esencial
- Abre una consola PowerShell con privilegios de administrador.
- Ejecuta
pnputil /enum-drivers | findstr /i "phymem64". Normalmente no aparecerá ningún dispositivo que dependa de él. - Comprueba que ningún servicio lo referencia con
sc query phymem64. En la mayoría de equipos devuelve “The specified service does not exist”.
Estas dos verificaciones demuestran que eliminarlo es seguro.
Procedimiento paso a paso para eliminar phymem64.sys
1. Preparación
Antes de modificar controladores conviene crear un punto de restauración: Panel de control → Sistema → Protección del sistema → Crear. Así podrás revertir cualquier cambio inesperado.
2. Usar Autoruns para quitar la carga automática
- Descarga Autoruns desde la suite Sysinternals de Microsoft.
- Extrae el ZIP y ejecuta
Autoruns64.exe. - Acepta la licencia; tras cargar símbolos, escribe
phymem64.sysen Quick Filter. - Autoruns mostrará una o varias entradas (normalmente bajo las pestañas Drivers o File System). Haz clic derecho en cada una y selecciona Delete.
- Cierra Autoruns y reinicia Windows. En la mayoría de casos, el aviso desaparecerá en este punto.
3. Eliminar el paquete del almacén de controladores
Si quieres una limpieza total, comprueba si aún existe en la carpeta C:\Windows\System32\DriverStore\FileRepository.
- Descarga Driver Store Explorer (RAPR).
- Ejecuta
rapr.execomo administrador y marca phymem64.inf (o similar). - Pulsa Delete Driver(s). El programa enviará los archivos afectados a la papelera.
4. Desactivar el servicio registrado
En algunos equipos antiguos el instalador añadía un servicio fantasma:
sc query phymem64
Si el estado es STOPPED o START_PENDING, desactívalo:
sc config phymem64 start= disabled
Luego elimina la clave de registro correspondiente dentro de HKLM\SYSTEM\CurrentControlSet\Services\phymem64 para evitar residuos.
5. Desinstalar la aplicación origen
Casi siempre influyen programas como:
- Moyea All‑In‑One Downloader
- AnyDVD HD versiones 7.x
- Grabadores de pantalla lanzados antes de 2015
Desinstálalos desde Aplicaciones → Aplicaciones instaladas y busca versiones actualizadas. Muchos desarrolladores eliminaron el controlador problemático en builds recientes.
Métodos alternativos avanzados
Comandos DISM para limpieza masiva
DISM (Deployment Image Servicing and Management) incluye funciones para quitar rápidamente controladores bloqueados en lote. Desde PowerShell:
dism /Online /Remove-Driver /Driver:"oem##.inf"
/ScratchDir:C:\Temp
Sustituye oem##.inf por el nombre exacto que pnputil haya listado para phymem64.
Uso de Windows Security Catalog
Si gestionas un parque de equipos en dominio, distribuye a través de Intune o GPO la política de bloqueo de controladores vulnerables (Kernel Driver Mitigation Policy). De esa forma evitas reinstalaciones accidentales.
Driver Verifier
Para confirmar que no quedan referencias ocultas, habilita Driver Verifier con:
verifier /standard /driver phymem64.sys
Tras reiniciar, si el sistema no genera BSOD, significa que la DLL/driver se eliminó completamente.
Prevención y buenas prácticas
- Activa Memory Integrity (HVCI) en Seguridad de Windows → Seguridad del dispositivo.
- Sólo instala software desde fuentes reconocidas que ofrezcan firmas SHA‑2 contemporáneas.
- Mantén actualizado Windows Defender o tu solución EDR; sus firmas detectan versiones nuevas o renombradas de phymem64.sys.
- Programa auditorías mensuales con autorunsc.exe /accepteula /v -a * | findstr /i “.sys” para detectar controladores inesperados.
Preguntas frecuentes
¿Basta con poner el archivo en cuarentena?
A corto plazo sí, pero a la larga conviene retirarlo del sistema de archivos y del registro para reducir superficie de ataque.
¿Puedo renombrarlo en lugar de eliminarlo?
Renombrarlo evita la carga, pero Windows seguirá generando alertas si alguna referencia insiste en llamarlo. Bórralo y desaparecerán los avisos.
¿Existe versión “buena” de phymem64.sys?
No; los desarrolladores abandonaron el proyecto hace años y nunca liberaron una variante firmada ni auditada.
¿Qué ocurre si lo necesito para un programa antiguo?
Considera ejecutar ese software dentro de una máquina virtual aislada sin acceso a datos sensibles. No sacrifiques la seguridad del host.
Conclusiones
phymem64.sys es un vestigio de aplicaciones multimedia desactualizadas que hoy representa un peligro más que un beneficio. Gracias a las herramientas gratuitas de Sysinternals y a la blocklist integrada de Windows, eliminarlo resulta sencillo y no afecta al rendimiento. Sigue los pasos descritos, verifica su ausencia y mantén tu sistema protegido mediante Memory Integrity y políticas de actualización estrictas.