VIRUS BOO/Sinowali.E

Question

Bonjour,
 J'ai lu la résolution du virus BOO/Sinowali.E avec Hijack et j'ai bien fait mes rapports de scan.

J'obtiens les résultats suivants et je ne sais pas quelles lignes dois-je supprimer exactement...

Pourriez vous m'aider svp?

Mon scan:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:19:08, on 17/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\HelpAssistant\Bureau\Sniffle.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://hjt-data.trendmicro.com/hjt/analyzethis/index.php?report=11332672
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [BroadcomWireless] C:\Program Files\Broadcom\Wireless\Utility\WlanUtil.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKCU\..\Run: [WAB] C:\Documents and Settings\Administrateur.COOKI\Application Data\Macromedia\Common\53bfe00819.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://fichiers.touslesdrivers.com/maconfig/MaConfig_3_5_3_0.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Broadcom ASF IP and SMBIOS Mailbox Monitor (ASFIPmon) - Broadcom Corporation - C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe
O23 - Service: Service Google Update (gupdate1ca49d7a1e27690) (gupdate1ca49d7a1e27690) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe

Nicolas Coolman · Accepted Answer

Bonsoir Xplode,couki,

La version utilisée de ZHPDiag v1.24.18 est trop ancienne, la version actuelle v1.24.22 a résolu le problème qui pouvait se poser lors de l'édition du module O41/Driver.

Bonne désinfection à tous les deux.

A bientôt...

Xplode · Answer

Salut, fais ceci pour un diagnostic plus complet de ton PC :

-+-+-+-> ZHPDiag <-+-+-+-


[x] Télécharge ZHPDiag ( de Nicolas coolman ).

[x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

[x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau

[x] Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

[x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

[x] Rend toi sur www.cjoint.com

[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

[x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message

archet9 · Answer

Bonsoir Couki

J'ai lu la résolution du virus BOO/Sinowali.E avec Hijack et j'ai bien fait mes rapports de scan. 

==> Continue à faire confiance a des robots....
ou alors fais-yu plutot  confiance à un
processus de désinfection personnalisé?

==> C'est toi qui voit....

a+

Xplode · Answer

-+-+-+-> ZHPfix <-+-+-+-


[x] Relance ZHPDiag, fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert " ZHPFix ".

[x] ZHPFix se lancera, clique maintenant sur le " H " bleu ( coller les lignes helper ) puis copie/colle ceci :


O4 - HKCU\..\Run: [WAB] C:\Documents and Settings\camille\Application Data\Macromedia\Common\53bfe00819.exe
O4 - HKUS\S-1-5-18\..\Run: [WAB] C:\Documents and Settings\camille\Application Data\Macromedia\Common\53bfe00819.exe
O4 - HKUS\S-1-5-18\..\Run: [WAB] C:\Documents and Settings\camille\Application Data\Macromedia\Common\53bfe00819.exe
C:\WINDOWS\WMSysPrx.prx
C:\WINDOWS\ST6UNST.001
C:\WINDOWS\System32\ezsidmv.dat
C:\Documents and Settings\camille\Application Data\Macromedia\Common\53bfe00819.exe
O4 - Startup: mhbupd32.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\Explorer.EXE"="C:\WINDOWS\Explorer.EXE:*:Enabled:enable"
O52 - TDSD:HKLM\...\Drivers32\"wave1"="C:\DOCUME~1\camille\APPLIC~1\MACROM~1\Common\53bfe0081.dll"
O52 - TDSD:HKLM\...\Drivers32\"midi1"="C:\DOCUME~1\camille\APPLIC~1\MACROM~1\Common\53bfe0081.dll"
O52 - TDSD:HKLM\...\Drivers32\"mixer1"="C:\DOCUME~1\camille\APPLIC~1\MACROM~1\Common\53bfe0081.dll"
O52 - TDSD:HKLM\...\Drivers32\"aux1"="C:\DOCUME~1\camille\APPLIC~1\MACROM~1\Common\53bfe0081.dll"
O52 - TDSD:HKLM\...\Drivers32\"wave2"="C:\DOCUME~1\camille\APPLIC~1\MACROM~1\Common\53bfe0081.dll"
O52 - TDSD:HKLM\...\Drivers32\"midi2"="C:\DOCUME~1\camille\APPLIC~1\MACROM~1\Common\53bfe0081.dll"
O52 - TDSD:HKLM\...\Drivers32\"mixer2"="C:\DOCUME~1\camille\APPLIC~1\MACROM~1\Common\53bfe0081.dll"
O52 - TDSD:HKLM\...\Drivers32\"aux2"="C:\DOCUME~1\camille\APPLIC~1\MACROM~1\Common\53bfe0081.dll"


[x] Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

[x] Copie/Colle le rapport à l'écran dans ton prochain message

Xplode · Answer

-+-+-+-+-> ComboFix <-+-+-+-


[x] Télécharge ComboFix ( de sUBs ) à cette adresse.

[x] /!\ Fermez toutes les fenêtres de programme ouvertes /!\

[x] /!\ Désactivez toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\

[x] Double clique sur " Combofix.exe "

[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le

[x] Combofix va maintenant déconnecter ton PC d'internet

[x] Pendant le scan, ne touche à rien ( souris, clavier )

[x] A la fin du scan, le rapport s'ouvrira automatiquement, copie/colle le dans ton prochain message.

[o] Nb : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt

Xplode · Answer

Refais un ZHPDiag

Xplode · Answer

Fais ceci :

-+-+-+-> Malwarebyte's Anti-Malware <-+-+-+-


[x] Télécharge Malwarebyte's anti-malware (MBAM) à cette adresse : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

[x] Installe le.

[x] Met le à jour.

[x] Lance un scan complet !

[x] Coche bien tout les éléments trouvés et supprime les !

[x] Un tutoriel pour son utilisation est disponible ici : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

[x] Suis les indications données sur le lien précédent puis copie/colle le rapport généré dans ton prochain message

Xplode · Answer

Refais un ZHPDiag et poste le lien du rapport hebergé

Couki · Answer

voila le lien

http://www.cijoint.fr/cjlink.php?file=cj200910/cijTskK4rd.txt 

thanks

Xplode · Answer

-+-+-+-> ZHPfix <-+-+-+-


[x] Relance ZHPDiag, fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert " ZHPFix ".

[x] ZHPFix se lancera, clique maintenant sur le " H " bleu ( coller les lignes helper ) puis copie/colle ce qui se trouve à ce lien :

https://www.cjoint.com/?kvtjbBkSJf

[x] Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

[x] Copie/Colle le rapport à l'écran dans ton prochain message

Couki · Answer

voici le lien apres avoir fait cela ac la nouvelles version de ZHPDiag

http://www.cijoint.fr/cjlink.php?file=cj200910/cij6hyObLN.txt 

J'espère que cette fois c bon ...

je vais essayer de redémarrer le pc ...

Xplode · Answer

Refais un ZHPDiag une fois que tu auras redémarré ton PC

Xplode · Answer

Enregistre le fichier en .txt et re héberge le stp, j'ai pas office pour lire les docx..

Xplode · Answer

Télécharge mbr.exe à cette adresse : http://www2.gmer.net/mbr/mbr.exe

Tu le lances, puis tu postes le rapport généré.

-------

# Téléchargez Dr.Web CureIt! sur votre Bureau à cette adresse : ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
# Double-cliquez sur launch.exe et cliquez sur Commencer le scan.
# Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, cliquez sur le bouton Oui pour Tout à l'invite.
# Lorsque le scan rapide est terminé, cliquez sur Options > Changer la configuration.
# Choisissez l'onglet Scanner, et décochez Analyse heuristique.
# De retour à la fenêtre principale : choisissez Analyse complète.
# Cliquez la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, fermez-la.
# Cliquez Oui pour Tout si un fichier est détecté.
# A la fin du scan, si des infections sont trouvées, cliquez sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, cliquez sur Quarantaine.
# Au menu principal de l'outil, en haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport.
# Sauvegardez le rapport sur votre Bureau. Ce dernier se nommera DrWeb.csv.
# Fermez Dr.Web CureIt!
# Redémarrez votre ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage.
# Suite au redémarrage, postez (Copiez/Collez) le contenu du rapport de l'outil Dr.Web dans votre prochaine réponse

Couki · Answer

voila le rapport de mbr en dessous

dois je faire aussi ce que tu as ecrit avec Dr. Web cure it ?
car apparement il ne reste qu'un fichier d'infecté selon le rapport de mbr:

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x89865e40
NDIS: Broadcom NetLink (TM) Gigabit Ethernet -> SendCompleteHandler -> 0x898a2800
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x010DA9381 
malicious code @ sector 0x010DA9384 !
PE file found in sector at 0x010DA939A !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

Xplode · Answer

Le MBR ( master boot record ) est infecté, c'est le premier secteur du disque dur, ce qu'il explique que l'infection revient à chaque fois.

Déplace le fichier " mbr.exe " sous C:\ directement ( donc tu dois avoir C:\mbr.exe )

Ensuite tu cliques sur démarrer, puis executer et tu tapes cmd

Appuie sur " ok " , une fenêtre noire s'ouvrira

tu tapes cd c:\ et appuie ensuite sur entrée

tapes mbr.exe -f

copie/colle ensuite le rapport généré

Couki · Answer

Voici le resultat

ca semble positif non?

ms des programmes sont surement atteints et je vais devoir les reinstaller non?
msn, skype, windows live mail, ... non??



Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http ...

device: opened successfully
user: MBR read successfully
kernel: MBR rootkit kooks:
\Driver\ACPI -> 0x89869e40
NDIS: Broadcom Netlink (TM) Gogabit Ethernet -> SendcompleteHandler -> 0x898a6800
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x010DA9381
malicious code @ sector 0x10DA9384 !
PE file found in sector at 0x10DA939A !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

c:\>

Xplode · Answer

Non, pas de soucis de ce côté là normalement

Maintenant qu'on a restauré le MBR refais un ZHPDiag

Xplode · Answer

Refais cette étape : https://forums.commentcamarche.net/forum/affich-14794199-virus-boo-sinowali-e#16

Couki · Answer

le lien 

http://www.cijoint.fr/cjlink.php?file=cj200910/cijnhhgEjk.txt 

et qq petites questions:

que puis je faire pour éviter d'avoir des virus par bittorrent?
j'utilise plutot utorrent en fait, est ce moins dangereux?
j'ai avast...

et comment puis je effacer mes données transcriptes ds les rapports que j'ai posté? ici et sur cijoint

THANKS ;)))))

Xplode · Answer

Refais l'étape avec ZHPFix comme je te l'ai indiqué, car l'infection est encore présente

donc poste le rapport ZHPFix + un nouveau ZHPDiag

Couki · Answer

http://www.cijoint.fr/cjlink.php?file=cj200910/cijjykq0N1.txt 

et 


http://www.cijoint.fr/cjlink.php?file=cj200910/cijKw3U9qs.txt

Couki · Answer

http://www.cijoint.fr/cjlink.php?file=cj200910/cijKw3U9qs.txt 

et 

http://www.cijoint.fr/cjlink.php?file=cj200910/cijv0UIg2W.txt

Couki · Answer

J'ai refait l'etape et posté le diag d'apres et le rapport a l'effacement (etape que j'ai refaite)

et mon ordi deconne de nouveau... 

internet explorer se ferme tout seul ....

Xplode · Answer

-+-+-+-> ZHPfix <-+-+-+- [x] Relance ZHPDiag, fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert " ZHPFix ". [x] ZHPFix se lancera, clique maintenant sur le " H " bleu ( coller les lignes helper ) puis copie/colle ce qui se trouve à ce lien : https://www.cjoint.com/?kxusQ5p31k [x] Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ". [x] Copie/Colle le rapport à l'écran dans ton prochain message -+-+-+-> GMER <-+-+-+- [x] Télécharge GMER à partir de ce lien : http://www2.gmer.net/gmer.zip [x] Dézippe le sur ton bureau, puis lance GMER en double cliquant dessus ( Clic droit -> Executer en tant qu'admin sur vista ) [x] Désactive ton antivirus le temps du scan [x] Dans l'onglet " Rootkit " , laisse toutes les cases cochées à droite. [x] Clique sur " Scan " [x] Lorsque le scan est terminé, clique sur " Copy " , ouvre le bloc note et clique sur Edition -> Coller [x] Enregistre le fichier sur ton bureau et copie/colle le contenu dans ton prochain message Nb : Un tutoriel est disponible ici pour t'aider : https://www.malekal.com/tutorial-gmer/

Xplode · Answer

On a réussi à l'avoir ! Le PC se porte comment ?

Y'a aussi un truc qui me turlupine dans le rapport de GMER

Affiche les fichiers cachés

Puis rends toi sur VirusTotal

Clique sur " Parcourir " et séléctionne ce fichier -> c:\windows\system32	ermsrv32.dll

Clique ensuite sur " Envoyer le fichier "

Patiente un instant, puis poste le rapport à l'écran

Xplode · Answer

Refais un scan ZHPDiag

Xplode · Answer

fais un rapport ZHPDiag pas RSIT je me suis trompé de logiciel ^^

Xplode · Answer

Heberge le rapport, et répond à la suite de mon message pour pas que ça soit le bordel dans les messages

Xplode · Answer

Mauvaise nouvelle, il est revenu :(

-+-+-+-> Malwarebyte's Anti-Malware <-+-+-+-


[x] Télécharge Malwarebyte's anti-malware (MBAM) à cette adresse : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

[x] Installe le.

[x] Met le à jour.

[x] Lance un scan complet !

[x] Coche bien tout les éléments trouvés et supprime les !

[x] Un tutoriel pour son utilisation est disponible ici : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

[x] Suis les indications données sur le lien précédent puis copie/colle le rapport généré dans ton prochain message

Xplode · Answer

Pour l'histoire de windows live mail, je pense pas pouvoir t'aider..

Refais un ZHPDiag

Xplode · Answer

Pas possible ça, il revient tout le temps grr..

On va tenter ça ( de toute façon vu que c'est dans system32 au pire le dllcache les restaurera )

Fais un ZHPFix avec ce lien :

https://www.cjoint.com/?kCoU0tITKv

Puis un nouveau ZHPDiag

VIRUS BOO/Sinowali.E - Page 2

Discussions similaires

Newsletters