A ver, lo primero es que con wireshark no necesariamente podrás ver a todos los intrusos, depende de sobre que interfaz lo ejecutes, de tu conf. de red (fisica), etc. Si haces un MITM ya sería otro tema.
En cuanto a si tienes troyanos, yo tampoco lo creo, es una posibilidad, pero muy remota.
Luego, no dices si tienes WPS activado o no, lo cual es bastante importante.
Y bueno, los demás consejos que te dan mas o menos lo mismo que yo haría.
Lo de nmap es buena idea, si sabes usarlo, sino utiliza la herramienta que te pasé, o angryipscanner o similar. Si puedes pasar captura de los supuestos intrusos (la pantalla donde los ves) seria lo ideal.
En cuanto a lo que comentaba arget, sobre el spoofeo de mac:
-por cable: solo habría problemas en los tramos que compartiesen MAC, es decir, más allá de la capa física, no habría problemas, ya que se utiliza la ip. Sin embargo, el router al recibir un paquete para A, cuando consulta la tabla ARP y ve que A y B tienen la misma MAC y distinta IP se hace un lío, pudiendo mandarselo a los dos, a ninguno, a uno sólo...es decir, genera ruido (o pérdida de datos) y potencial inestabilidad
-por wifi: ahi la cosa cambia, como bien dices es un medio de difusion así que aunque haya dos direcciones MAC repetidas al AP le da "igual". Y como ya hemos dicho que la capa dónde ARP funciona no va más allá del AP, tampoco habría problema. Además al ser un medio de difusion no genera más ruido del habitual.
Sobre lo que comentas de DHCP, creo que ahí te has liado, o no te he entendido. Si hay dos direcciones IP repetidas, sencillamente funciona la "primera en llegar". Vamos, al menos en mi experiencia, no se si aqui juega un papel la tabla ARP o es por otra razón, pero nunca me ha funcionado si la ip estaba repetida (sea por wifi o cable).
PD: disculpad la tardanza