Перечитав множество тем я пришел к выводу что скорее всего на моем сервере тоже применяется какое то шифрование клиент -> серверного трафика. Но за недостатком опыта в раскрытии подобных механизмов я обращаюсь к вам дорогое сообщество.
Что есть:
1) пакетхак работает исправно (использую версию 3.4.1.82)
2) пакеты приходящие с сервера пакетхак распознает верно ("обход смены XOR ключа" снято)
3) отправляемые клиентом пакеты распознаются не верно.
3.1) часть отправляемых пакетов, например сообщения в чат отличаются от эталонных только первыми 2мя байтами
3.2) другая часть пакетов отличаются полностью и изменяется после релогина, но первые 2 байта всегда остаются неизменными.

Не могу предположить что бы это значило, может быть вы мне поможете определиться в каком направлении рыть ? или какие еще данные могут помочь в решении задачи ?

Попытайся выявить закономерности, когда используется тот или иной тип шифрования и какой используется ключ.
Обычные способы - использовать пакеты с большим количеством нулей/повторяющихся символов.
С большой вероятностью отправляемый пакет шифруется неким количеством операций типа xor, так что, если уверен в том, какой пакет уходит, то путем побайтового xor фактического и нужного, можешь получить ключ, или его производное. Далее - медитируешь на списке из ключей для разных пар пакетов и ищешь закономерности, проверяешь их, снова медитируешь, и до полного просветления.
Когда найдешь алгоритм - пиши свой newxor.dll.
Кактатак.
ЗЫ. Судя по посту, галка "не дешифровать траффик" не поставлена, так что учти, что ко входящему траффику уже применен стандартный алгоритм дешифрации.
ЗЗЫ. Действия эти в большой степени эмпирические и основаны на догадках и внимании, так что много зависит от интуиции и удачи. Хеппи енд абсолютно не гарантирован.