и так )) самое интересное началось ))
для тех кто не вкурсе попробую обьяснить 1 ссылкой:
zenyro.ru -> новости с обновлениями.
exe'шники распакованы, dllки тоже, куда передается управление после перехвата пакета - найдено.
Осталось дело за "малым" - съэмулировать систему кодировки. Чтож будем думать, и если что просить на рофане помощи )))
Главное - начало положено.

Что выяснено:
* пакер: 1.24 upx распаковывает exe и длл
* Шифруеться тело как минимум 2-х пакетов: 64 и a7
* за "старый" пакет a7 при "новом" 64 дают бан, что обнаружил alex600, а я подтвердил.
* входящие пакеты по симптомам alex600 не пакуются.