В локальной сети стоит у каждого пользователя аналог службы сообшений программа winsent.exe. C помощью которой сотрудники орагнизации переписываются друг с другом. В последнее время стали посылаться всем сотрудникам через эту службу сообщения религиозной направленности связанные с концом света и всякой другой белибердой. С какого компьютера идут эти сообщения- определить не могу. Сообщения подписываются псевдонимом , не существующим в сети. Вопрос такой: что это может быть вирус или баловство какого либо сотрудника? Кто нибудь сталкивался с такой проблемой? Как, чем(какой программой) можно определить, с какого компьютера посылаются эти сообщения?

Пути могут быть различные, но если нет никакой информации о программе портах и т.п. Поставьте TCPview от sysinternals. Определите какие порты слушает программа и при приходе спама - IP с которого было открыто соединение. Второй вариант sniffer на свиче (мирор порт само собой), можно удалённо через arp poisoning но это не очень законно и может вызывать проблемы в сети.

А программы нет, которая бы записывала все сообщения, проходящие через службу сообщений виндовс, с IP адресом, содержимым соощения и прочими характеристиками?

Смотри "Журнал событий" (он же "Просмотр событий"), раздел "Система" там автоматически создаются сообщения с номером 26, источник "Application Popup" следующего содержания:

Всплывающее окно приложения: Служба сообщений : Сообщение от "NetBIOS-имя рабочей станции отправителя" для "NetBIOS-имя рабочей станции получателя" на "число, месяц, год" "время получения"

"ТЕКСТ СООБЩЕНИЯ".

Но это только на машинах с ОС Windows 2k-XP и только для сообщений пришедших через стандартную "Службу сообщений".

В том то идело что стандартная служба сообщений остановлена, а стоит ее аналог , программа winsent.exe. Может есть какие нибудь программы перехвата данных сообщений?