我为 ExpressVPN 工作。不，这不是恶意软件。这是正在发生的事情：

1. 适用于 Windows 的 ExpressVPN 应用程序由两部分组成：用户界面和“引擎”。UI 作为常规 Windows 应用程序运行。引擎 (xvpnd.exe) 作为 Windows 服务运行并负责控制 VPN。这种设计的一个好处是，如果应用程序崩溃，VPN 不会受到影响，并且 VPN killswitch 可以在启动时尽早启动。
2. 应用程序和引擎使用 http 相互通信。这就是您看到引擎在端口 2015 上侦听的原因。重要提示：引擎仅绑定到本地网络。没有外部流量可以到达该端口。
3. 当用户连接到 VPN 时，引擎负责测试我们的哪些 VPN 端点可能提供最可靠和最快的 VPN 连接。它通过向各种 VPN 服务器 IP 地址发送 UDP 数据包来实现。您提到的 IP (199.19.94.101) 属于我们的“加拿大 - 多伦多” VPN 服务器位置。
4. 您可能在这里遇到了错误。该引擎只应该在您即将连接到某个位置时测试 VPN 服务器，而且您重现的似乎是引擎无论如何都在测试 VPN 服务器的情况。我们的团队正在调查，一旦确定了根本原因，就会修复。感谢您提出问题。
5. 我们自己还无法在 Malwarebytes 中重现警告，但我们会联系他们以获取更多信息。同时，您可以按照以下步骤为 ExpressVPN 添加排除项：https: //support.malwarebytes.org/customer/portal/articles/1835329-how-do-i-stop-malwarebytes-anti-malware-from-blocking -scanning-a-file-or-program-that-i-trust-?b_id=6438