No entiendo muy bien la lógica de tu codigo, te pongo por aquí la cláusula SQL que (yo creo) es la normal y "mejor":

strSQL = "SELECT * FROM TABLA_USUARIOS WHERE USUARIO='"&chkString(request.form("usuario"))&"' AND PASSWORD='"&chkString(request.form("password"))&"' "

Notese que la función chkString es una que tú habrás desarrollado para "comerte" los ', y demás caracteres que te puedan reventar la sentencia.

Un saludo, espero haber sido de ayuda.