Verantwortlich ist immer noch derjenige, der im Impressum steht bzw. die Domain registriert hat. Da man gegen Spam bzw Viren/Trojaner (auch wenn diese in dem Fall für PHP SKripte gedacht sind, bleibts das gleiche) verschicken u.U. einen Unterlassungsanspruch durchsetzen kann, müsste sich jemand an die Strafvervollgungsbehörden wenden, mit genügend Durchhaltekraft beantragen die dann iwann die Abschaltung des Servers/Webspace beim Hoster.

Schneller gehts meist, wenn man sich direkt an den Hoster wendet, da das Verschicken von Spam/Viren/Trojanern/Schadskripten etc meist in den AGB verboten ist, kann der den Account auch erstmal dicht machen.
Allerdings ist: http://www.cubos-internet.de/ selbst schon bei WoT als gelb/rot bewertet, insofern scheint denen alles egal zu sein ....

Also bleibt nur noch fleissig die Mailadresse des Shops in allen Spammeldeseiten einzutragen ^^