Primero aclarar que recién solucionado puse el post y copie y pegué sin limpiar el código, realmente estoy convencido que la solución fue "matar" y vaciar los valores la sesion especificamente, session_destroy(id de sesion), etc.
Ahora pone $HTTP_POST_VARS porque para asegurarme aún más en mi aplicación cambié todas las globales de sesión al formato antiguo $HTTP_...

Ya sé que esos session_destroy() no tienen ningún fundamento, debería sobrar el session_destroy() o cuando menos session_destroy('sesion'), pero bueno... no tenía porqué quitarlos y así me aseguraba más .

Y para acabar, Cluster, es comprensible que se pierda un poco el hilo de los post, más si andas respondiendo cientos a lo largo del día, tarde, etc... pero ese código no va, si repasas el post comprobarás que he hecho 40 millones de cosas y ejemplos y nada.
Yo solo sé, que con ese código que puse ya me funciona, además a la perfección, y que creo (ya pondré el código limpio que es válido) que la clave es llamar a la sesion especificamente y mejor aún si se le ha establecido un nombre.
¿Que el manual dice que son solo session_destroy(), etc, etc??, pos bueno, solo sé que a mí no me va así, y sí con session_destroy('name de sesion'), al igual que el unset, etc, etc.

Un saludo y ahora pongo el código limpio... ah, por supuesto y como siempre, un millón de gracias.