Das Log sah eigentich völlig normal aus, keine ungewöhnlichen Allokationen und der erste Eintrag der medium block list passt auch zu deinem Record.
Keineswegs, man sieht, dass die ganzen 10 Byte allokationen nirgendwo zu finden, sind - der erste Block müsste mindestens 896 Allokationen aufweisen.
Single steppen auf meinem PC (die anderen Tests waren gestern auf dem PC eines Kollegen) im Vergleich zu seinem PC ergibt, dass bei mir das DIsassembly an der LEA Stelle von GetMem einen JMP zeigt, bei ihm jedoch LEA.
Ein Jump direkt als erste Anweisung, sieht nach einem Codepatch/Hook aus - Code mal durchsuchen danach (z.b. nach $E8 oder anderen Repräsentationen des jmp opcodes gefolgt von 4 Byte für die Zieladdresse) - suchen nach WriteProcessMemory kann auch was zutage fördern. Ob man einen Databreakpoint auf ausführbaren Speicher setzen kann, weiß ich nicht, aber wäre auch eine Möglichkeit den Verursacher zu finden.