해킹을 당한 것 같습니다. Possible rootkits: SHV5 이 트로이안 툴 삭제하는 방법이 궁금합니다.

일단 서버는 Cent OS 5.4 final 이 깔려 있습니다.
웹서버인데, 누가 와서 프로그램을 실행한것으로 보입니다.

rkhunter를 돌려 보면 이런 결과가 나옵니다.

MD5 scan
Skipped

File scan
Scanned files: 342
Possible infected files: 1
Possible rootkits: SHV5

제가 이걸 하루에 한번씩은 꼭 실행시켜 보는데, 이상증상이 발견되고 나서, 이렇게 되었습니다.

하지만, 특이한 프로세서는 몇개 보이지만, 다음과 같습니다.
[root@www .sh]# netstat -nlp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name  
tcp        0      0 0.0.0.0:873                 0.0.0.0:*                   LISTEN      2801/xinetd        
tcp        0      0 0.0.0.0:20                  0.0.0.0:*                   LISTEN      2941/ttyload       
tcp        0      0 0.0.0.0:21                  0.0.0.0:*                   LISTEN      3454/vsftpd        
tcp        0      0 192.168.0.2:53              0.0.0.0:*                   LISTEN      2705/named         
tcp        0      0 211.234.100.120:53          0.0.0.0:*                   LISTEN      2705/named         
tcp        0      0 127.0.0.1:53                0.0.0.0:*                   LISTEN      2705/named         
tcp        0      0 0.0.0.0:25                  0.0.0.0:*                   LISTEN      2820/sendmail: acce
tcp        0      0 127.0.0.1:953               0.0.0.0:*                   LISTEN      2705/named         
tcp        0      0 :::80                       :::*                        LISTEN      716/httpd          
tcp        0      0 :::24                       :::*                        LISTEN      17346/sshd         
tcp        0      0 :::443                      :::*                        LISTEN      716/httpd          
udp        0      0 192.168.0.2:53              0.0.0.0:*                               2705/named         
udp        0      0 211.234.100.120:53          0.0.0.0:*                               2705/named         
udp        0      0 127.0.0.1:53                0.0.0.0:*                               2705/named         
raw        0      0 0.0.0.0:1                   0.0.0.0:*                   7           -                  
raw     1400      0 0.0.0.0:1                   0.0.0.0:*                   7           2949/ttymon        
Active UNIX domain sockets (only servers)
Proto RefCnt Flags       Type       State         I-Node PID/Program name    Path
unix  2      [ ACC ]     STREAM     LISTENING     6692   2866/gam_server     @/tmp/fam-root-
unix  2      [ ACC ]     STREAM     LISTENING     60372  14256/3             /tmp/ssh-gDqNF14256/agent.14256

잘 보이지 않는 녀석들이 있는데요. 혹시 raw라고 되어 있는 프로세스 ttymon이 무슨 역활을 하는 것인가요?
또 ttyload  이것도 있는데 이건 어떻게 확인할 수 있는 것인지도 문의 드립니다.

대신 php가 감염된 것으로 보입니다.

/tmp 폴더에 세션이 18000개 정도로 보입니다.
엄청 많이 있죠....

[root@www ]# find / -user root -perm -4000 -print>suidlist
find: /proc/16988: 그런 파일이나 디렉토리가 없음
find: /proc/16998/task/16998/fd/4: 그런 파일이나 디렉토리가 없음
find: /proc/16998/fd/4: 그런 파일이나 디렉토리가 없음
[root@www ]# find / -user root -perm -2000 -print>guidlist
find: /proc/17045/task/17045/fd/4: 그런 파일이나 디렉토리가 없음
find: /proc/17045/fd/4: 그런 파일이나 디렉토리가 없음

제가 궁금한 것은 2가지입니다.
만약 감염 사실을 알았다면, 삭제도 할 수 있을것 같은데, 삭제하는 방법이 없나요?