Gemäss FDF-Bericht finden sich im Verzeichnis «Incoming» der vom Beschuldigten
installierten eMule-Anwendung zahlreiche Vorschaubilder mit mutmasslich verbotenen Inhalten (vorwiegend Kinderpornografie und Präferenzindikatoren), welche in
der Datei «Thumbs.db» gespeichert sind. Diese Vorschaubilder dokumentierten den
Zugriff auf die nicht mehr vorhandenen Bilddateien. Standardmässig speichere der
Windows Explorer die kleineren Vorschaubilder für die grösseren Originale in den
Puffer-Speicher (Thumbs.db), um die Ladezeit beim nächsten Zugriff zu verkürzen,
ohne dass der Benutzer das explizit veranlasse.