Isso pode ser benigno ou maligno. Vamos esperar por benignidade: há algo rodando em sua máquina que acha que ela sabe melhor que ARP e está atualizando a tabela ARP "manualmente". Eu suspeito de algo como um firewall ou outro tipo de programa de proteção de endpoint, mas se você realmente não consegue rastreá-lo revisando o que está instalado, seu único recurso é usar ferramentas de auditoria para serviços pesados como WPR / WPA ou ProcessInternals. faça a coisa deles e, em seguida, ligue os eventos de volta.
Poderia ser maligno: um ataque man-in-the-middle clássico é enviar um ARP afirmando ser Alice quando você é realmente Bob: todo mundo atualiza seu cache e a partir de então todos que enviam para Alice pensam que são conversando com ela quando na verdade o tráfego deles está indo para o Bob. Ou (de outra forma) alguém invade sua máquina e configura ARPs estáticos para os alvos "errados".
Uma antiga estratégia para derrotar o primeiro, btw, é configurar entradas ARP estáticas para todos os destinos locais com os quais você deseja conversar. Para o segundo, bem, se o atacante estiver na sua máquina, é tarde demais.